0
点赞
收藏
分享

微信扫一扫

web安全之post注入和cookie注入

五殳师兄 2022-12-07 阅读 94

目录

环境

靶场11(POST注入)

靶场20(cookie注入)


环境

靶场:sqli-labs,工具:burp

靶场11(POST注入)

  • 抓包修改请求体
uname=-1' union select 1,2 #&passwd=&submit=Submit

  • 测试回显点

  • 拿到数据库名

  • 拿到表名

  • 拿到列名

  • 获取内容

靶场20(cookie注入)

  • 用post请求体测试回显点,发现sql注入被防御

  • 通过cookie注入绕过该防御

此时获取到数据库名字,接下来按照步骤进行即可 

 注:之前发现使用burp汉化版时无法进行换行输入,导致无法进行cookie注入,查看字符时发现是汉化的漏洞,将换行(\r\n)翻译为了\r导致无法插入,后来换用英文版本发现问题解决。

举报

相关推荐

0 条评论