目录
最近在复习XFF注入,这里使用墨者靶场来简单的练习一下该漏洞的利用方法
XFF介绍
X-Forwarded-For:简称XFF头,代表了HTTP的请求端真实的IP。
它被认为是客户端通过HTTP代理或者负载均衡器连接到web服务端获取源ip地址的一个标准(通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库或某文件[通过修改XXF头可以实现伪造IP])。
XFF注入是利用HTTP请求中的XFF头信息来修改或者篡改应用程序的数据。攻击者通过构造恶意的XFF头信息来欺骗服务器,使服务器误认为请求是来自可信的源,以达到注入攻击的目的。
属于SQL注入的一种,注入原理是通过修改X-Forwarded-for头对带入系统的dns进行sql注入,达到欺骗服务器执行恶意的SQL命令的效果,从而可以得到网站的数据库内容。
靶场练习
打开对应的靶场进行访问
访问靶场可以看到是如下页面,是一个登录窗口:
对登录页面进行抓包查看:
可以看到这里并不是提示我们账号或密码错误而是记录了我们的ip地址,因此我们可以使用X-Forwarded-For: 127.0.0.1来伪造我们的ip地址,如果服务器中存在白名单就有可能成功的绕过限制进行登录
但是这里发现127.0.0.1还是被记录了,这里就可以尝试在XFF处进行注入
对X-Forwarded-For: 字段尝试闭合后发现报错了,说明存在注入点,直接使用sqlmap跑:
可以看到成功的跑出了payload,后面分别跑出数据库名称,表名,字段名,数值就可以获得key
很简单的练习了一下XFF注入,结束
