综合渗透测试-Cookie注入

第一步，打开网络拓扑，启动实验虚拟机，分别查看虚拟机IP地址：

Kali Linux

Windows 7

第二步，使用Kali Linux访问sqli-lab第20关的页面：

http://172.16.1.200（靶机IP地址）/sqli-labs/Less-20/

第三步，右键页面-选择Inspect Element with Firebug

第四步，切换至Cookies选项卡-Cookies-Create Cookie

第五步，创建一个用户名的Cookie，名称为uname，值为admin，将Path修改为“/”

第六步，关闭窗口，并重新刷新页面

第七步，刷新页面后，发现Cookie已经被显示

通过上图我们可以发现，我们将Cookie中的uname用户名设为admin，网页通过SQL语句查询出该用户的密码是admin。既然uname被引用并查询了SQL，那么通过修改Cookie中uname的值，我们或许可以进行SQL注入攻击。

第八步，再次重复上述步骤，右键uname-edit，修改用户名的值

第九步，爆出行数：

1）将uname的值修改：

admin' order by 4--+

2）刷新页面，提示第四行不存在

3）将值中的“4”改为“3”，即以第三列排序，以此判断第三列是否存在

4）刷新页面，页面正常，证明数据库共有三列

第十步，爆出当前数据库的名称：

1）修改uname的值：

-admin' union select 1,2,database()--+

2）刷新页面，得到当前的数据库名为security

第十一步，进入第21关，访问地址：

http://172.16.1.200/sqli-labs/Less-21

第十二步，21关卡也同样是Cookie注入。刚刚我们测试过的uname仍然生效，但页面最下方显示错误

出现该错误，我们首先要考虑的是编码问题。由于上个关卡测试没有问题，所以不是编码问题。那么很有可能是uname的值被加密了，最有可能的就是可以被还原的base64加密。

切换至Windows 7靶机，查看网站源码，验证base64加密的过程

C:\AppServ\www\sqli-labs\Less-22\index.php

在源代码中，通过base64_encode方法将用户名（username字段）进行了base64的加密。

第十三步，先将现在uname的值提取出来，将其base64加密后再写入到Cookie当中：

1）右键uname-edit，复制Value中的值

2）打开终端，使用命令将当前语句进行base64加密

echo -n "-admin' union select 1,2,database()--+" | base64

3）将加密后的值粘贴回去

4）刷新页面，页面成功解析了我们base64加密后的值，但报出错误

这表示我们的“--+”注释符号失去了作用。

5）更换注入语句，重新编码：

echo -n "-admin') union select 1,2,database()#" | base64

6）写入Cookie

7）刷新页面，获得当前数据库名

第十四步，访问第22关卡：

http://172.16.1.200/sqli-labs/Less-22

第十五步，本关卡仍为Cookie注入，我们在上一关的Cookie依然保留，首先看到，我们当前的Cookie是没有返回任何结果的

第十六步，切换至Windows 7靶机，查看该页面的源代码，找到原因：

C:\AppServ\www\sqli-labs\Less-22\index.php

22关卡的SQL语句不再使用单引号进行包含，变成了双引号。

第十七步，修改刚刚的注入语句，使用双引号代替单引号，再去掉括号：

1）生成新的uname值：

echo -n "-admin\" union select 1,2,database()#" | base64

2）写入到Cookie

3）刷新页面，注入成功

实验结束，关闭虚拟机。