墨者学院-X-Forwarded-For注入漏洞实战

Lyswbb

已于 2022-06-21 18:05:11 修改

阅读量802

点赞数 1

文章标签：安全

于 2022-06-21 17:01:25 首次发布

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

本文链接：https://blog.csdn.net/qq_47094508/article/details/125393613

版权

根据题目可知漏洞点存在于XFF中

访问后就一个登陆后台

随便输入用户名和密码然后burp抓包，当没有XFF的时候会显示你的真实地址

添加XFF后可以看到IP变化了，证明后端是从XFF中获取客户端IP

尝试对XFF进行注入，sqlmap一把梭

python sqlmap.py -r 1.txt -p X-Forwarded-For

爆库名

最低0.47元/天解锁文章

关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
墨者学院-X-Forwarded-For注入漏洞实战

根据题目可知漏洞点存在于XFF中访问后就一个登陆后台随便输入用户名和密码然后burp抓包，当没有XFF的时候会显示你的真实地址添加XFF后可以看到IP变化了，证明后端是从XFF中获取客户端IP尝试对XFF进行注入，sqlmap一把梭爆库名爆表名爆字段名爆username中所有的数据爆password所有的数据...
复制链接

扫一扫

评论

被折叠的条评论为什么被折叠?

到【灌水乐园】发言

查看更多评论

添加红包

成就一亿技术人!

hope_wisdom

发出的红包

打赏作者

Lyswbb 你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20

扫码支付：¥1

获取中

扫码支付

您的余额不足，请更换扫码支付或充值

实付元

使用余额支付

点击重新获取

扫码支付

钱包余额 0

抵扣说明：

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。