網(wǎng)絡(luò)安全系列之八 Cookie注入（注入中轉(zhuǎn)）

在前面的幾篇博文中，我們已經(jīng)成功拿下了南方數(shù)據(jù)2.0的模板網(wǎng)站，接下來我們將目標(biāo)網(wǎng)站換成南方數(shù)據(jù)5.0模板，下載地址：http://down.51cto.com/data/553330 。實驗環(huán)境跟之前一樣，目標(biāo)服務(wù)器IP地址192.168.80.129，***主機IP地址192.168.80.128。

首先我們?nèi)允钦乙粋€有參數(shù)傳遞的頁面，在URL后面加上“and 1=2”進行測試，可以發(fā)現(xiàn)這些常用的sql注入命令已經(jīng)被過濾掉了。

這里我們可以使用一種更為高級的注入方式——cookie注入。cookie注入其原理也和平時的注入一樣，只是將參數(shù)以cookie的方式提交，而一般的注入我們大都是使用get方式提交，get方式提交就是直接在網(wǎng)址后面加上需要注入的語句。

下面我們借助于工具sqlHelper來進行cookie注入，下載地址http://down.51cto.com/data/1881323 。

首先將存在有參數(shù)傳遞的頁面完全打開，并將url復(fù)制下來：http://192.168.80.129/shownews.asp?id=15。

運行sqlHelper中的“注入中轉(zhuǎn)”工具，選擇“cookie注入”，并按下圖的格式進行填寫。注意“post提交值”一定要用默認的“jmdcw=”，后面的“15”就是剛才所打開的網(wǎng)頁所傳送的參數(shù)值。

設(shè)置好之后，點擊“生成ASP”，此時會在sqlHelper軟件目錄下生成兩個asp網(wǎng)頁文件jmCook.asp、jmPost.asp。

下面我們在***主機上也安裝小旋風(fēng)ASPWeb服務(wù)器搭建一個Web環(huán)境，并將jmCook.asp和jmPost.asp這兩個文件復(fù)制到網(wǎng)站主目錄wwwroot中。

打開瀏覽器，在地址欄中輸入“127.0.0.1/jmCook.asp?jmdcw=15”來訪問剛才所生成的網(wǎng)頁，此時就在本地打開了之前曾訪問的那個頁面。

在這個頁面中，我們就可以使用之前的那些注入語句來實現(xiàn)注入了。

為了簡化操作，我們也可以利用明小子之類的工具來快速注入。將地址“127.0.0.1/jmCook.asp?jmdcw=15”復(fù)制到明小子的SQL注入菜解檢測中，很快就能爆出管理員賬號以及密碼。

可以發(fā)現(xiàn)admin的密碼仍然是“3acdbb255b45d296”，也就是0791idc。

在地址欄中輸入“http://192.168.80.129/admin/Login.asp”登錄網(wǎng)站后臺，可以看到網(wǎng)站雖然安全性有所增強，但數(shù)據(jù)庫備份的漏洞仍然存在。

我們?nèi)允窍葘ebshell以圖片的形式上傳，得到路徑“http://192.168.80.129/UploadFiles/20141011145142292.jpg”，然后在數(shù)據(jù)庫備份中指定所上傳的圖片路徑，并將備份后的文件后綴更改為.asp，這樣就又成功上傳了WebShell。

 后續(xù)就又是提權(quán)的過程，具體操作可參考之前的博文。