就因为用写了一个自助提卡系统！居然一个月挣的比一年多！勿商用

相关环境

源码信息： 你猜啊

漏洞类型： Forwarded-For注入

搭建成功之后如下 ：

看到如下页面是不是有似曾相识的感受：

私信小编007即可获取数十套PDF哦！

上图是安装过后的首页，就是一个提卡网，继续吧！

这里很明显我们看到了SQL注入，首先判断是否设置$_POST[“dh”]不为空则将该参数拼接到SQL语句中，看到这里就可以判断出该程序存在联合查询注入，可是$config哪来的，这个文件也没包含其它的文件啊！！！怎么办呢？那么我们就来找找index文件中是否包含了api.php，search一下

可以看到在294行这里包含了api.php文件，我们构造下放入sqlmap中玩一玩。

Python sqlmap.py -u “http://localhost:8081/index.php” --batch --dbms=”mysql” --data=”dh=a”

我们尝试本地站点的时候毫无问题，为什么这个提卡网就没有存在这个问题了呢？很明显这个网站可能是升级或者二开发过的，我们接着看看其它点，进入./pay/pay.php文件：

代码过多就不一一贴图出来了，主要构成漏洞的代码就在这其中，我们从38行开始看着走。

这里判断$_GET[“type”]等于delete的时候则执行40-49行的代码，41将获取到的ip拼接到sql语句中，我们看看ip函数：

好了，现在我们打开burp进行抓包，然后伪造ip进行一系列的嘿嘿了，因为./pay/index.php中包含了pay.php，所以我们对index.php进行注入就好

正常页面：

错误页面：

好的，现在看到了吧！我们放到SQLmap中跑一下看看，我们将这个数据包保存到文本中，并且标注注入位置：X-Forwarded-For这个注入还自带绕过waf功能，因为很多waf不会检测hander参数。

Python sqlmap.py -r test.txt --batch --dbms="mysql"

我们对那个网站测试一番，访问：http://lxxxx.pw/pay/index.php?type=zfb&money=1&title=adssad&pwd=123