根据题目可知漏洞点存在于XFF中
访问后就一个登陆后台
随便输入用户名和密码然后burp抓包,当没有XFF的时候会显示你的真实地址
添加XFF后可以看到IP变化了,证明后端是从XFF中获取客户端IP
尝试对XFF进行注入,sqlmap一把梭
python sqlmap.py -r 1.txt -p X-Forwarded-For
爆库名
根据题目可知漏洞点存在于XFF中
访问后就一个登陆后台
随便输入用户名和密码然后burp抓包,当没有XFF的时候会显示你的真实地址
添加XFF后可以看到IP变化了,证明后端是从XFF中获取客户端IP
尝试对XFF进行注入,sqlmap一把梭
python sqlmap.py -r 1.txt -p X-Forwarded-For
爆库名