墨者靶场 初级:X-Forwarded-For注入漏洞实战
题目
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/cc06d94f658488463fdef6ce8bf178e0.png)
背景介绍
某业务系统,安全工程师"墨者"进行授权黑盒测试,系统的业主单位也没有给账号密码,怎么测?
实训目标
1、掌握SQL注入的基本原理;
2、了解服务器获取客户端IP的方式;
3、了解SQL注入的工具使用;
解题方向
对登录表单的各参数进行测试,找到SQL注入点,对数据库内容进行读取,找到账号与密码。
解题步骤
启动靶场环境,得到测试地址,访问是个登录页面。
http://219.153.49.228:45340/
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/10eae3c1465beeb7a491bee9ac71dbc4.png)
模拟登陆,使用burp suite进行抓包。
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/a427f8a05916fae1c099a72a8d82ea58.png)
修改报头X-Forwarded-For参数,设为X-Forwarded-For:*,保存下来