最新Cookie注入攻击和代码分析技术

Cookie注入攻击

Cookie注入攻击的测试地址在本书第2章。

发现URL中没有GET参数，但是页面返回正常，使用Burp Suite抓取数据包，发现Cookie中存在id=1的参数，如图4-61所示。

  

 

 

图4-61 

 

修改Cookie中的id=1为id=1'，再次访问该URL，发现页面返回错误。接下来，将Cookie中的id=1分别修改为id=1 and 1=1和id =1 and 1=2，再次访问，判断该页面是否存在SQL注入漏洞，返回结果分别如图4-62和图4-63所示，得出Cookie中的参数ID存在SQL注入的结论。

 

 

 

图4-62  

  

 

图4-63  

 

接着，使用order by查询字段，使用Union注入的方法完成此次注入。

 

Cookie注入代码分析

通过$_COOKIE能获取浏览器Cookie中的数据，在Cookie注入页面中，程序通过$_COOKIE获取参数ID，然后直接将ID拼接到select语句中进行查询，如果有结果，则将结果输出到页面，代码如下： 

<?php  $id = $_COOKIE['id'];  $value = "1";  setcookie("id",$value);  $con=mysqli_connect("localhost","root","123456","test");  if (mysqli_connect_errno())  {   echo "连接失败: " . mysqli_connect_error();  }  $result = mysqli_query($con,"select * from users where `id`=".$id);  if (!$result) {    printf("Error: %s\n", mysqli_error($con));    exit();  }  $row = mysqli_fetch_array($result);  echo $row['username'] . " : " . $row['address'];  echo "<br>";?>

这里可以看到，由于没有过滤Cookie中的参数ID且直接拼接到SQL语句中，所以存在SQL注入漏洞。当在Cookie中添加id=1 union select 1,2,3,4,5%23时，执行的SQL语句如下：

select * from users where `id`=1 union select 1,2,3,4,5#

此时，SQL语句可以分为select * from users where `id`=1和union select 1,2,3,4,5这两条，利用第二条语句（Union查询）就可以获取数据库中的数据。

 

 

Ms08067安全实验室专注于网络安全知识的普及和培训，是专业的“图书出版+培训”的网络安全在线教育平台，专注于网络安全领域中高端人才培养。

平台已开设Web安全零基础就业，Web高级安全攻防进阶，红队实战攻防特训，Java代码安全审计，恶意代码分析与免杀实战，CTF基础实战特训营，网络安全应急响应，安全工具开发，AI与网络安全等系统培训课程。实验室出版安全图书《Web安全攻防：渗透测试实战指南》、《内网安全攻防：渗透测试实战指南》、《Python安全攻防：渗透测试实战指南》、《Java代码审计：入门篇》等。

扫描客服微信 获取更多课件+学习资料