凡科轻站,软件开发都有哪些项目,在哪注册网站,网上营销模式SQL注入-http header利用案例
首先通过登录http头界面,如图所示:登录的信息会被记录到数据库中去#xff0c;同时使用bp进行抓包分析
将抓包的数据发送repeater里面进行调试
通过useragent进行注入 将useragent对应的数据信息删除掉,输入单引号测试被后台执行报错sql语法…SQL注入-http header利用案例
首先通过登录http头界面,如图所示:登录的信息会被记录到数据库中去同时使用bp进行抓包分析
将抓包的数据发送repeater里面进行调试
通过useragent进行注入 将useragent对应的数据信息删除掉,输入单引号测试被后台执行报错sql语法错误证明此处存在漏洞
因useragent信息会被写入数据库中去所以使用insert注入思路进行测试暴库语句
firefox or updatexml(1,concat(0x7e,database()),0) or 如图所示数据库被爆出
通过cookie进行注入
cookie信息跟踪会话后台会获取前端的cookie信息虽然这个cookie是后端发下来的由于前端的页面跳转后台会获取相关的信息进行验证会在后端数据中进行拼接同样会产生漏洞。
在cookie后面的信息很明显能看出是登录信息在admin后面添加一个单引号。测试被后台执行并报错sql语法错误因此可以证明此处存在漏洞。
添加一个payload语句进行爆库
admin and updatexml(1,concat(0x7e,database()),0)#如图所示在admin后面添加字符型注入语句直接暴漏出数据库。
