攻防世界 Web xff_referer

最新推荐文章于 2024-04-19 09:30:00 发布
最新推荐文章于 2024-04-19 09:30:00 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: 攻防世界 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Emjl__/article/details/124686631
版权

题目描述中说道 xff 和 referer 是可以伪造的。而这道题中我们就来伪造这二者。

X-Forward-For(xff)是客户端连接到网页的ip,referer是客户从哪个网页来访问的当前页面。

打开 burp suite ,对网页抓包,发送给重发器(repeater)。

要求 ip 为123.123.123.123,就在请求中添加

X-Forwarded-For: 123.123.123.123

发送。

审查响应,发现要求客户从https://www.google.com发起请求。再次在请求中添加

referer: https://www.google.com

得到flag。

cyberpeace{90fe60da17eef83f0221379176933b8c}

Emjl隼宇
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【网络安全 | CTF】攻防世界 xff_referer 解题详析
等风来
05-21 4638
(简称 XFF)是一个 HTTP 请求头部字段,它用于表示 HTTP 请求的客户端 IP 地址,尤其是当请求通过一个中介代理或负载均衡器时。该字段的值通常是一个逗号分隔的 IP 地址列表,其中第一个 IP 地址是最初连接到中介代理或负载均衡器的客户端 IP 地址。因为在这种情况下,服务器只能看到请求的中介代理或负载均衡器的 IP 地址,而无法直接获取客户端的真实 IP 地址。是另一个 HTTP 请求头部字段,它包含了当前请求的来源页面 URL 地址,即前一个页面的 URL 地址。
将bin填充0xFF到指定大小(含源码)
01-15
升级flash时,flash大小必须是16M,下载的flash文件有时不足16M,便做了个小工具,将bin填充0xFF到指定大小。
攻防世界-web xff_Referer
m0_53533553的博客
09-11 2074
xff_Referer 扩展 xff Romote Address xff简称X-Forwarded-For X-Forwarded-For 是一个 HTTP 扩展头部,是用来识别通过HTTP代理,或,负载均衡方式,连接到Web服务器的客户端最原始的IP地址,的HTTP请求头字段。 主要是为了让 Web 服务器获取访问用户的真实 IP 地址。 那为什么 Web 服务器只有通过 X-Forwarded-For 头才能获取真实的 IP? Remote Address代表的是当前HTTP请求的远程地址,即HTTP
攻防世界15:xff-referer
最新发布
weixin_49765221的博客
04-19 521
构造协议头
ctf之xff_referer伪造
qq_53106085的博客
10-17 3694
xffxff 是http的拓展头部,作用是使Web服务器获取访问用户的IP真实地址(可伪造)。由于很多用户通过代理服务器进行访问,服务器只能获取代理服务器的IP地址,而xff的作用在于记录用户的真实IP,以及代理服务器的IP。格式为:X-Forwarded-For: 本机IP, 代理1IP, 代理2IP, 代理2IP referer:referer 是http的拓展头部,作用是记录当前请求页面的来源页面的地址。服务器使用referer确认访问来源,如果referer内容不符合要求,服务器可以拦截或者重定
repeater【攻防世界
qq_41696518的博客
09-01 1540
repeater 攻防世界
xff-referer伪造ip地址和域名
Be Smart
02-20 7154
layout: post title: “xff-referer伪造ip地址和域名” categories: [ctf] tags: [xff referer] 最新版的BurpSuite与以前版本不同,将raw headers hex这些二级导航栏去掉,改在了右侧显示,需要Add伪造ip和域名的时候,在该部分右侧底部有add按钮等老版功能,进行添加操作和其他老版功能 X-Forwarded-For 是一个 HTTP 扩展头部,主要是为了让 Web 服务器获取访问用户的真实 IP 地址。在代理转发及反
XCTF2-web xff_referer
orchid_sea的博客
11-28 272
XFF的作用是使Web服务器获取访问用户的IP真实地址(可伪造)。由于很多用户通过代理服务器进行访问,服务器只能获取代理服务器的IP地址,而xff的作用在于记录用户的真实IP,以及代理服务器的IP。HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。
ignore_0xff.rar_scale
09-14
File: sf_estim.h Content: Scale factor estimation functions.
源代码-C#与halcon开发的流程式机器视觉软件系统
11-06
基于C#开发的机器视觉软件系统,结合halcon视觉库,软件系统的功能采用流程式,所有功能的处理过程均可视化,提供了所有的源代码,供学习使用。
与上0xFF的意义.zip
06-05
有些人,不太懂,C语言中为什么出现“&0xFF”,它存在的意义是什么,是补零?不会,他只是按位与,没有补零的功效,那到底是什么,这里会告诉你,而且不枉你的5积分!
linux 下将指定文件以0xFF填充到指定大小源码
01-15
linux 下将指定文件在结尾添加0xFF添加到指定大小(源码)。用法gcc 编译后运行,有帮助命令。4G以上文件未测试。(A:代码风格糟糕注释少,还是没人用的生僻工具,骗分!B:啥~骗分?技术上的事情不叫骗。)
攻防世界(web)---xff_referer
ooooohhhhhhh博客
08-02 267
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 这一HTTP头一般格式如下: X-Forwarded-For: client1, proxy1, proxy2, proxy3 ip地址必须为123.123.123.123,用xff伪造IP协议 X-Forwarded-For: 123.123.123.123 显示内部HTML必须来自https://www.google.com" HTTP Re..
攻防世界Web新手练习篇
m0_63944500的博客
11-19 2181
写给刚接触CTF的萌新,感谢支持,谨以此文献给去年的自己。
ctf-攻防世界-webxff_referer
一只菜鸟的博客
11-08 775
首先看提示:xffreferer是可以被伪造的,看来是要伪造请求头 打开环境,显示ip必须为123.123.123.123。既然已经提示了伪造xff,那就是验证xff了。 burp抓包,右键send to repeater,在请求头中添加X-Forwarded-For:123.123.123.123,放包。 发现提示必须来自https://www.google.com,那在请求头再添加Referer:https://www.google.com,则出现flag ...
攻防世界-WEBxff_referer
wlw1275178332的博客
03-18 314
请求刚从client1中发出时,XFF是空的,请求被发往proxy1;通过proxy1的时候,client1被添加到XFF中,之后请求被发往proxy2;通过proxy2的时候,proxy1被添加到XFF中,之后请求被发往proxy3;通过proxy3时,proxy2被添加到XFF中,之后请求的的去向不明,如果proxy3不是请求终点,请求会被继续转发。映入眼帘的就是IP地址,那根据上面我们所了解的,这应该就是我们要构造的xff的IP地址。使用bp抓包,在头部加上 xff(注意大写字母),然后放行。
攻防世界xffrefereer
m0_73303597的博客
11-09 822
紫铜
攻防世界-xff_referer
m0_49025459的博客
12-30 236
抓包看看,打开场景,页面提示我们ip必须是123.123.123.123,我们就想到burpsuite抓包,添加上X-Forwarded-For:123.123.123.123。我们看到页面提示必须来自https://www.google.com,那我们添加Referer:https://www.google.com。
xff_vision csdn
09-23
xff_vision是CSDN社区中的一个用户账号,该用户可能是一个程序员或者对技术有浓厚兴趣的个人。CSDN是中国最大的IT技术社区,用户可以在CSDN上分享和交流有关技术、编程、开发和科技的知识和经验。 通过xff_vision这个用户名,我们可以推测该用户对技术视野开阔,对技术的发展有自己的理解和见解。可能是一个有影响力的技术博主或者需要在CSDN上进行技术交流的用户。 在CSDN上,用户可以发布自己的技术博客,与其他技术人员进行交流讨论,提问和解答问题,分享经验和心得。用户可以关注其他用户,并通过关注来获取技术动态和学习资源。 xff_vision可能会发布一些关于计算机视觉、机器学习、人工智能等技术领域的文章,分享自己在这些领域的研究成果或者学习心得。该用户可能会参与一些开源项目或者组织技术研讨会,以加深自己的技术理解和交流。 总的来说,通过参与CSDN社区,xff_vision可以与同行进行沟通交流,扩大自己的技术影响力,同时也可以从其他人的文章和问题中获取新的学习和启发,让自己的技术视野更加开阔。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值