Cookie注入攻击
Cookie注入攻击的测试地址在本书第2章。
发现URL中没有GET参数,但是页面返回正常,使用Burp Suite抓取数据包,发现Cookie中存在id=1的参数,如图4-61所示。
图4-61
修改Cookie中的id=1为id=1',再次访问该URL,发现页面返回错误。接下来,将Cookie中的id=1分别修改为id=1 and 1=1和id =1 and 1=2,再次访问,判断该页面是否存在SQL注入漏洞,返回结果分别如图4-62和图4-63所示,得出Cookie中的参数ID存在SQL注入的结论。
图4-62
图4-63
接着,使用order by查询字段,使用Union注入的方法完成此次注入。
Cookie注入代码分析
通过_COOKIE能获取浏览器Cookie中的数据,在Cookie注入页面中,程序通过_COOKIE获取参数ID,然后直接将ID拼接到select语句中进行查询,如果有结果,则将结果输出到页面,代码如下:
代码语言:javascript复制<?php
$id = $_COOKIE['id'];
$value = "1";
setcookie("id",$value);
$con=mysqli_connect("localhost","root","123456","test");
if (mysqli_connect_errno())
{
echo "连接失败: " . mysqli_connect_error();
}
$result = mysqli_query($con,"select * from users where `id`=".$id);
if (!$result) {
printf("Error: %sn", mysqli_error($con));
exit();
}
$row = mysqli_fetch_array($result);
echo $row['username'] . " : " . $row['address'];
echo "<br>";
?>这里可以看到,由于没有过滤Cookie中的参数ID且直接拼接到SQL语句中,所以存在SQL注入漏洞。当在Cookie中添加id=1 union select 1,2,3,4,5#时,执行的SQL语句如下:
代码语言:javascript复制select * from users where `id`=1 union select 1,2,3,4,5#此时,SQL语句可以分为select * from users where `id`=1和union select 1,2,3,4,5这两条,利用第二条语句(Union查询)就可以获取数据库中的数据。
