返回
查找关于COOKIES入侵的方法及工具.doc

查找关于COOKIES入侵的方法及工具.doc

ID:28553309

大小:201.00 KB

页数:6页

时间:2018-12-11

查找关于COOKIES入侵的方法及工具.doc_第1页
查找关于COOKIES入侵的方法及工具.doc_第2页
查找关于COOKIES入侵的方法及工具.doc_第3页
查找关于COOKIES入侵的方法及工具.doc_第4页
查找关于COOKIES入侵的方法及工具.doc_第5页
资源描述:

《查找关于COOKIES入侵的方法及工具.doc》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、查找关于COOKIES入侵的方法及工具Cookies是一小段提请存储在您的计算机硬盘上的文本。当获得您的同意后,浏览器将会把此段文本存储到一个小文件中。如果您将浏览器设定为在接收Cookies之前给予提示,您在访问okhtm.com网站时将会注意到希望在您的计算机上放置Cookies的请求,其目的是通知我们您何时访问了我们的网站。这个Cookies本身只是告诉我们一为过去的访问者再次访问了okhtm.com网站,而不会提供有关您的电子邮件地址或您是谁等信息。当然,您可以选择通过注册在以后某个时候告诉我们这些信息。cookies就是网页放在你的电脑中的一些文件,由网页脚本语言控制生成删除

2、修改访问查阅判断,有一定的时效性(程序中规定)。一般打开是乱码。怎么察看cookies?第一种办法:在ie里有一个“导入导出功能”,可以将你的cookies导出到一个自己定义的文件,可以是txt第二种方法:下载一个叫做cookies察看器的小工具,即可以修改删除察看cookies文件。第三中办法:用request.cookies(item)来访问cookies中的值。利用cookies进行注入:在程序中一些程序需要读取客户浏览器中的cookies来进行程序的判断,有的时候程序没有对读取的cookies进行过滤或者是判断,导致直接把cookies中的一个键的值直接提交到数据库执行。coo

3、kies是在我们客户端的,所以随便你怎么改都可以。在网页程序执行的时候直接把cookies中的值没有经过过滤和检查是一种非常危险的事情。伪造cookies:在程序的执行中,有的系统是用cookies来读取用户名和密码来进行访问端的身份判断(http是一种无状态协议),在我们通过注入或者是下载数据库读取用户名和密码成功后,可以直接修改cookies,把相应的用户名和密码和权限值代替默认的cookies中的用户名和密码和权限,意思是当你以一个普通用户登陆的时候,系统给你的电脑生成了一个cookies,其中包括了你的用户名密码权限(普通),当你得知了管理员或者其他用户用户名和密码和权限特征时

4、候可以直接修改cookies,把你的相应的值替换成关键用户的值,这样系统就认为你是真正的那个管理员。软件简介:oblog2.52的cookies欺骗入侵由于oblog2.52中的inc/function.asp文件中的checkuserlogined()函数对password没有过滤就放到了sql语句执行导致了sql注入,最明显的是a’or’a’=’a漏洞,在function.asp还有两个函数codeCookie()是加密用户名和密码的,decodeCookie()是解密,如果是mssql,可以导致后台更改管理员密码和添加管理员等等。0dca22a731e30058’and1<(se

5、lectuserpasswordfrom[user]whereuserid=1)--暴管理员密码0dca22a731e30058’update[user]setuserpassword=’0dca22a731e30058’whereusername=’admin’修改管理员密码0dca22a731e30058’insetintoadmin(username,password)values(’9xiao’,’0dca22a731e30058’)--加管理员,上面三个语句需要运行codecookie加密后在review修改cookies好久没有做动画嘿嘿,今天有些时间做个最新的oblog2

6、.52的cookies欺骗,把a’or’a’=’a加密,在password中修改,嘿嘿进前台了,这个版本还有一个删除任意文件的漏洞,动画在网上已经出了,偶简单说下,抓包,在文件名那地方利用../来指定你要删除的文件比如../index.asp修改好后用nc提交就可以了,本来演示提权的没有找到mssql版的,就算了。软件名称:cookies再次利用入侵cookies再次利用入侵~~这次我们用明小仔的旁注工具修改COOKIES思路:先找管理员名:landi应该是他了~~>>>像上次一样,再修改用户名>>>再修改等级在网上闲逛,无意中试下,竟然入去了~~http://www.kwzj.com

7、/index.aspx就是他看下去我们先注册,用户名:kker密码:789800登陆……现在的等级为:小说输入员这是KKER用户的COOKIES:ASP.NET_SessionId=tnkstw551m01xk55qm351prj;stat123=yes;UserInfo=username=kker&grade=1会员ID:landi会员等级:小说输入员都还是这个小等级我们再看看grade=1等级=1~是的小说输入员我们来改一下~~会员ID:l

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。