HEAD注入1——使用mode header报错
1、暴力破解密码
由于head注入需要知道登录名和密码,于是我们用burp暴力破解出用户名和密码
先在登录框中随便输入用户名和密码,用burp抓包,把抓包的内容发送给intruder
在intruder-position选项卡中的Attack type选项,选择Cluster bomb,把username后内容和password后内容Add&
Payload设置第一个add&和第二个add&,可以猜用户名和使用字典
启动attack
找到长度与其他不同的一项尝试,是用户名和密码
2、HEAD注入
(1)查看源码,请求中包含user-agent传参
因为if($row)中要有内容输入,才能执行INSERT INTO 语句,所以必须有正确的用户名和密码输入