数据库学习笔记8--XFF注入攻击、 sql注入绕过、base64注入攻击、二次注入攻击

最新推荐文章于 2024-06-05 08:37:40 发布
最新推荐文章于 2024-06-05 08:37:40 发布
阅读量1.7k 收藏 4
点赞数
分类专栏: SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41759633/article/details/98860472
版权

XFF注入攻击

通过burp suite抓取数据包内容,可以看到HTTP请求头中有一个头部参数X-Forwarded-for.X-Forwarded-for简称XFF头,它代表客户端真是IP,通过修改X-Forwarded-for的值可以伪造客户端IP,将X-Forwarded-for设置为127.0.0.1然后访问该URL,页面返回正常。将X-Forwarded-for设置为127.0.0.1’,再次访问该URL,页面返回mysql的报错信息,将X-Forwarded-for分别设置为127.0.0.1’and 1 =1#和127.0.0.1’and 1=2#再次访问该URL可以判断出有没有存在sql注入漏洞接着可以使用order by判断表中的字段数量,最终测试出数据库中存在的字段,这里以4为例子:尝试使用uoion查询注入方法语法为:

X-Forwarded-for:127.0.0.1'union select 1,2,3,4#

接着使用union注入(联合查询)方法完成此次注入
代码分析:

  • PHP中的getenv()函数用于获取一个环境变量的值,类似 S E R V E R 或 _SERVER或 SERVER_ENV,返回环境变量对应的值ÿ
最低0.47元/天 解锁文章
超级滑稽帝本人
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
任意密码修改、XFF绕过及文件上传——【XCTF】bug writeup
Ve99tr’s Blog
10-03 1036
题目 XCTF攻防世界web题-bug 进入后为登入页面 注册账号 注册账号admin#并登录 点击Manage项,提示不是admin 看来需要admin账号登录 Findpwd 登出,并点击Findpwd(找回密码) 填写admin#账号信息 转到重置密码的界面 使用burpsuite抓包,修改admin#为admin,尝试修改admin的密码 因为前面的admin#信息已经绕过了检测,所...
植物大战僵尸注入汇编写法-易语言
06-12
先说说注入的不注入的自我感觉,我感觉不是注入的CALL的太多很容易导致程序奔溃。而注入的稳定的多。当然也可能是我的错觉 首先我用了易语言 自带的 置入代码 部分写法如下: 那么我们CALL的原型就是: push 0xFF ...
enumXFF, 在转发的标绕过 403限制,正在枚举 ip.zip
09-18
enumXFF, 在转发的标绕过 403限制,正在枚举 ip 你需要做的就是从终端运行该工具,给出以下输入:尝试尝试的页面( http/https://website.com/page )被拒绝时得到的响应的内容长度你希望该工具通过 X-Forwarded-For 尝试的IP范围然后,该
伪造XFF绕过服务器IP过滤
weixin_34367845的博客
11-20 1227
IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF进行IP伪造 XFF字段 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求字段。通俗来说,就是浏览器访问网站的IP。一般格式: X-Forwarded-For:...
XFF注入【墨者靶场】
最新发布
qq_68163788的博客
06-05 589
X-Forwarded-For是一个HTTP请求部信息,用于标识HTTP请求经过的代理服务器IP地址。通常情况下,当一个客户端向服务器发送请求时,服务器会将请求来源的IP地址记录在日志中,以便进行信息追踪和安全检测。 然而,当请求经过多个代理服务器时,服务器可能无法准确判断请求的真实发起者IP地址。这时就需要使用X-Forwarded-For部信息来记录请求经过的代理服务器IP地址。
安全测试——XFF绕过
jin719的博客
09-18 564
X-Forwarded-For进行IP伪造,可以使用某IP访问后台。
二次注入,到报错注入注入,再到正则表达式绕过
Mr_Hong008的博客
11-07 356
二次注入,到报错注入注入,再到正则表达式绕过0x01前言0x02 分析0x03 绕过 0x01前言 回顾了下以前的代码审计 三个白帽,很经典 现在估计都没有了吧。 0x02 分析 <?php include 'db.inc.php'; foreach(array('_GET','_POST','_COOKIE') as $key){ foreach($$key as $k => $v){ if(is_array($v)){ errorBox("h
STC51单片机学习笔记3-C语言流水灯
10-30
在本文中,我们将深入探讨如何使用C语言在STC51单片机上实现一个双键控制的16个LED流水灯系统,其中包含8种不同的流速。这个项目将涉及到硬件连接、C51编程、中断处理以及定时器的运用。 首先,我们需要了解STC51的...
CRC-8.zip_C CRC 8_crc-8
09-21
在本文中,我们将深入探讨CRC-8,一种特定的CRC校验算法,它使用8位的校验码。CRC-8在许多嵌入式系统、通信协议和数据传输中都有应用,因为它具有计算简单、校验效率高的特点。 首先,我们要理解CRC的基本原理。CRC...
注入安卓进程,并hook java世界的方法
08-30
在Android平台上,注入和Hook技术是安全研究和逆向工程中的关键技能,它们允许开发者或者安全研究人员深入到应用程序的内部工作原理,监控或修改特定的行为。"注入安卓进程,并hook java世界的方法"这一主题主要涵盖...
javascript学习笔记--数字格式类型
10-25
很多人也许只知道 123,123.456,0xff 之类的数字格式。其实 js 格式还有很多数字格式类型,比如 1., .1 这样的,也有 .1e2 这样的。
CRC.rar_crc-8_crc校验实现C++
09-23
2. **生成器多项式**:CRC-8的生成器多项式是一个8位的二进制数,如`0x31`(10000001)。这个多项式决定了CRC的计算规则。在C++中,我们通常用右移操作和按位AND运算来模拟多项式除法。 3. **初始化值**:在开始...
Java避免UTF-8的csv文件打开中文出现乱码的方法
08-25
Java避免UTF-8的csv文件打开中文出现乱码的方法 在Java中,避免UTF-8的csv文件打开中文出现乱码的方法是非常重要的。csv文件是 comma separated values 的缩写,常用于数据交换和导入导出操作。然而,在Java中读取...
JS实现unicode和UTF-8之间的互相转换互转
10-19
由于UTF-8编码的字节顺序是从低到高,所以在组合成Unicode码点时需要进行位移操作(如`(uCode>>8)&0xff`)。 3. **注意事项**: - UTF-8编码中,ASCII字符(0x00到0x7F)只需要一个字节,但上述代码也考虑到了这种...
解决JDK1.6下的Base64报错问题
01-12
在Java开发过程中,有时我们可能需要使用到Base64编码,这是一种将二进制数据转换为可打印ASCII字符的机制,常用于在网络上传输或存储数据。然而,在JDK 1.6版本中,Base64相关的类并不内置在标准库中,这可能会导致...
J-link v8固件修复
07-30
二、更新固件 1. 安装AT91-ISP v1.13.exe软件 2. 双击Install AT91-ISP v1.13.exe运行,选择默认设置,安装好以后,桌面上生成两个图标 3. 双击桌面上的SAM-PROG v2.4图标,运行SAM-PROG v2.4烧录软件 4. 将JLINK ...
宽字节注入二次编码注入绕过/‘转义)less32-33
01mx的博客
03-27 2163
Unicode 统一码,也叫万国码、单一码(Unicode)是计算机科学领域里的一项业界标准,包括字符集、编码方案等。Unicode 是为了解决传统的字符编码方案的局限而产生的,它为每种语言中的每个字符设定了统一并且唯一的二进制编码,以满足跨语言、跨平台进行文本转换、处理的要求。 如果把各种文字编码形容为各地的方言,那么Unicode就是世界各国合作开发的一种语言。 宽字符(两个以上字节) 宽字符是指两个字节宽度的编码技术,如UNICODE、GBK、BIG5等。 我们这里的宽字节注入是利用的MySQL的一
XFF漏洞利用
小刚的博客
08-15 7858
作者:小刚 一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢 本实验仅用于信息防御教学,切勿用于其它用途 XFF漏洞X-Forwarded-For(XFF)利用方式1.绕过服务器过滤2.XFF导致sql注入补充 X-Forwarded-For(XFF) XFF是header请求中的一个参数 是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求字段。 代表了HTTP的请求端真实的IP。 X-Forwarded-For: client1, proxy1, p.
渗透测试-XFF漏洞攻击原理及防御方案
lza20001103的博客
04-15 2288
渗透测试-XFF漏洞攻击原理及防御方案
STM8学习笔记---定时器输出7路PWM波-综合文档
05-20
本文介绍了STM8单片机中的定时器...以上是本文的主要内容,总结了STM8学习笔记中关于定时器输出7路PWM波的综合文档。通过详细描述定时器的功能和配置方法,希望读者能够理解并掌握在STM8单片机中实现PWM波输出的方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

超级滑稽帝本人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值