墨者靶场 初级:X-Forwarded-For注入漏洞实战

最新推荐文章于 2024-05-14 18:56:50 发布
最新推荐文章于 2024-05-14 18:56:50 发布
阅读量599 收藏 5
点赞数
分类专栏: 靶场实战 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43233085/article/details/103936281
版权

墨者靶场 初级:X-Forwarded-For注入漏洞实战

题目

在这里插入图片描述

背景介绍

某业务系统,安全工程师"墨者"进行授权黑盒测试,系统的业主单位也没有给账号密码,怎么测?

实训目标

1、掌握SQL注入的基本原理;
2、了解服务器获取客户端IP的方式;
3、了解SQL注入的工具使用;

解题方向

对登录表单的各参数进行测试,找到SQL注入点,对数据库内容进行读取,找到账号与密码。

解题步骤

启动靶场环境,得到测试地址,访问是个登录页面。

http://219.153.49.228:45340/

在这里插入图片描述
模拟登陆,使用burp suite进行抓包。
在这里插入图片描述
修改报头X-Forwarded-For参数,设为X-Forwarded-For:*,保存下来

最低0.47元/天 解锁文章
CNwanku
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
墨者学院】X-Forwarded-For注入漏洞实战
hehigoxqc606的博客
08-31 879
墨者学院】X-Forwarded-For注入漏洞实战 漏洞原理: 利用HTTP头部注入、sqlmap注入等方式,爆破数据库表中的用户账号和密码,以登陆系统,很有可能对系统有下一步的破坏。 实战过程: 第一步:访问链接 第二步:抓取数据包,可以看到登陆失败,并提示登陆的IP地址 第三步:利用X-Forwarded-For头伪装127.0.0.1进行测试 第四步:复制RAW文件到xff.txt中,这里构造的X-Forward...
01#墨者靶场-X-Forwarded-For注入漏洞实战
shy的博客
11-15 693
墨者学习01 By/shy014 1.在网站登陆处抓包,发现提示IP已被记录。...
SQL注入工具sqlmap安装使用详解&靶场实验
05-14 770
SQL注入工具sqlmap安装使用详解&靶场实验,还有SQL注入攻击流程和MySQL攻击思路解读。
墨者 - X-Forwarded-For注入漏洞实战
吃肉唐僧的博客
07-10 4011
X-Forwarded-For 刷题之前先知道这个是什么东西,X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入RFC 7239(Forwarded...
墨者X-Forwarded-For注入漏洞实战
LGXJM20的博客
07-18 284
题目是X-Forwarded-For注入漏洞实战,我们先来brup抓包 brup抓包发现没有X-Forwarded-For头。就试试添加X-Forwarded-For:0.0.0.0试试,发现有回显 那我们就把把X-Forwarded-For的值设置为即X-Forwarded-For:,然后保存为1.txt 1.sqlmap -r 1.txt --dbs --batch爆库,注出information_schema库和webcalendar库 2.sqlmap -r 1.txt -D webcalen
墨者学院 X-Forwarded-For注入漏洞实战
crasher123的博客
06-19 1739
SQLMap是一个基于Python编写的工具,因此需要安装Python。可以从Python官方网站下载Python安装包,也可以使用包管理器进行安装。如果Python已经安装,则会显示Python的版本号。请求信息中多加一条X-Forwarded-For:*得到库表名user和login,继续攻击user表。运行后会显示SQLMap的欢迎信息和命令行帮助。得到数据库名称为webcalender,进行扫描。安装burpsuite和sqlmap。2.安装Python。4.运行SQLMap。
墨者靶场 post ,DB2,绕过登录,sql注入四关
最新发布
07-22
通关攻略墨者靶场 post ,DB2,绕过登录,sql注入四关
第30天:WEB漏洞-RCE代码及命令执行漏洞全解1
08-03
1. **墨者靶场**:提供了黑盒和白盒环境下的命令执行与代码执行漏洞模拟,帮助测试和学习漏洞利用和防御。 2. **Javaweb-Struts2框架类RCE漏洞**:Struts2框架中的某些版本存在远程代码执行漏洞,通过精心构造的请求...
APP原型实例:墨者科技-旅行小蜜APP2.0.rp
12-17
产品经理
0080 APP原型实例:墨者科技-旅行小蜜APP2.0.rp
01-06
rp原型源文件
墨者有巨子腹-居秦阅读答案】墨者有巨子腹.docx
11-13
墨者有巨子腹-居秦阅读答案】墨者有巨子腹.docx
墨者学院-X-Forwarded-For注入漏洞实战
weixin_42939822的博客
03-27 6305
墨者学院-X-Forwarded-For注入漏洞实战
墨者】X-Forwarded-For注入漏洞实战
weixin_48621644的博客
09-11 1289
小羊学安全 任重而道远 ~
墨者学院09 X-Forwarded-For注入漏洞实战
weixin_42789937的博客
02-10 562
墨者学院09 X-Forwarded-For注入漏洞实战,参考大佬wp,对于显错注入整理了手工和sqlmap两种注入流程~
X-Forwarded-For注入漏洞实战
qq_52718293的博客
12-06 851
解题步骤: 1.bp抓包(随便登录用户和密码) 2.修改X-Forward-For 鼠标右键保存到桌面(命名为*.txt 列如xff.txt) 3.使用sqlmap 库名 python sqlmap.py -r C:\Users\86191\Desktop\xff.txt --dbs --batch 表名 python sqlmap.py -r C:\Users\86191\Desktop\xff.txt -D webcalendar --tables --batch 字段 pytho
墨者学院sql注入 x-f
07-27
墨者学院SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在输入字段中插入恶意的SQL代码来实现对数据库的非授权访问。X-F是HTTP请求头部的一个字段,通常用于传递客户端IP地址或其他相关信息。在某些情况下,攻击者可能会尝试利用X-F字段进行SQL注入攻击。为了防止SQL注入攻击,开发人员应该合理地验证和过滤用户输入,并使用参数化查询或预编译语句来防止SQL注入攻击。此外,最好避免将用户输入直接拼接到SQL查询中。墨者学院可能提供相关的课程或教程来帮助开发人员学习和理解如何防止SQL注入攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值