利用Cookie注入进行绕过WAF

Admin 2020-06-20 98人围观 ,发现0个评论 Web安全Cookie注入绕过WAF

cookie注入的原理在于更改本地的cookie,从而利用cookie来提交非法语句。

document.cookie:表示当前浏览器中的cookie变量

alert():表示弹出一个对话框,在该对话框中单击“确定”按钮确认信息。

escape():该函数用于对字符串进行编码。

1.首先 对这个测试网站进行SQL注入测试
利用Cookie注入进行绕过WAF Web安全 第1张


然而 我们发现此时 网站有WAF 对我们提交的参数进行了过滤
利用Cookie注入进行绕过WAF Web安全 第2张


此时我们尝试使用Cookie注入 看看能不能绕过WAF进行注入
利用Cookie注入进行绕过WAF Web安全 第3张


此时已经把ID注入进了Cookie里 然后我们不带参数ID=171 进行访问
利用Cookie注入进行绕过WAF Web安全 第4张


我们发现 是可以正常访问的 那么就说明存在Cookie注入

然后我们进行SQL注入测试
利用Cookie注入进行绕过WAF Web安全 第5张


利用Cookie注入进行绕过WAF Web安全 第6张

利用Cookie注入进行绕过WAF Web安全 第7张


我们发现 and 1=1 是可以正常访问的

那么and 1=2 呢?
利用Cookie注入进行绕过WAF Web安全 第8张


and 1=2 报错 所以说明 此URL存在 SQL注入

接下来可以使用手工注入方式进行SQL注入

这里就不演示了 直接看结果


请发表您的评论
请关注微信公众号
微信二维码
不容错过
Powered By 蚁人博客