如何伪造http头,让后端认为是本地访问

最新推荐文章于 2024-10-04 20:01:02 发布
最新推荐文章于 2024-10-04 20:01:02 发布
阅读量3.1k 收藏 27
点赞数
分类专栏: CTF web 文章标签: http 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HAI_WD/article/details/132625250
版权
CTF 同时被 2 个专栏收录
81 篇文章 1 订阅
订阅专栏
web
37 篇文章 0 订阅
订阅专栏

0x00 前言

这个知识点纯粹就是为了ctf准备的,很少有系统会出现这种情况。

0x01 正文

1.host头

如果后端从host取值来判断是否是本地就可以通过此方法进行绕过:

host: 127.0.0.1

2.X-Forwarded-For

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段,并由IETF在HTTP头字段标准化草案中正式提出.

那么绕过就是:

X-Forwarded-For: 127.0.0.1

3.Client-Ip

Client-Ip是用于识别客户端与反向代理之间的真实IP地址。

绕过方式:

Client-Ip: 127.0.0.1

4.Referer

这个头部就是上一次请求的访问内容,绕过方式:

Referer: 127.0.0.1

Referer: http://127.0.0.1
Wcbddd
关注
专栏目录
后端开发的职位需要
百态老人的博客
06-01 579
后端开发是软件开发的一个关键领域,专注于服务器端的逻辑、数据库管理、以及与前端的交互。
CTF 用于伪造ip的http请求头
b1ackc4t的博客
02-22 2963
X-Forwarded-For:127.0.0.1 Client-ip:127.0.0.1 X-Client-IP:127.0.0.1 X-Remote-IP:127.0.0.1 X-Rriginating-IP:127.0.0.1 X-Remote-addr:127.0.0.1 HTTP_CLIENT_IP:127.0.0.1 X-Real-IP:127.0.0.1 X-Originating-IP:127.0.0.1 via:127.0.0.1
php伪造http实现IP欺骗
07-19
可以伪造http,以达到修改请求来源的方法。
CTF web入门学习记录
a1351937368的博客
10-17 1678
原来OI党,大学进了信息安全这个专业,结果准备去打CTF,但是发现CTF的水比ACM深多了,没有很多写的对新手友好的入门博客,然后学习的时候学长还让自己百度,其实挺不友好的。 最近想入web这个坑,顺带的自己看书做题的经验写写博客,之前的东西不想落下。 写之前入门题也做了二十多道,水挺深的。但是之前无非都是学按部就班的操作,具体原理根本不会。现在看看书谢谢学习记录,以后也能看看。 2019年10月...
关于如何伪造本地ip访问服务器
W_seventeen的博客
12-03 6247
BUGKU 管理员系统 首先打开题目发现是管理员登录页面,直接尝试下用户名admin,密码admin,然后放进burp抓包,想尝试暴力破解,结果发现用户名猜对了。尝试找密码,常规f12查看源码,发现了末尾处有典型的base编码加密。 怎么辨别base64编码,通常是A-Z,a-z,0-9,+,/,=。最后通常有0个到2个等号。 我也成功用在线解码器,确实是base64编码,解出test123 然...
CTF中HTTP 扩展部中伪造ip
热门推荐
钞sir的博客
10-01 1万+
X-Forwarded-For 是一个 HTTP 扩展部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。 X-Forwarded-For 请求头格式: X-Forwarded-For: client, proxy1, proxy2 可见X-Forwarded-For内容是由「英文逗号 + ...
firefox伪造请求头信息,模拟手机访问网站
Just Code
06-28 1292
大概有两年没有去过chinaz的论坛了,昨天上去逛了逛。正好看到一个朋友在问百度是如何判断是不是手机登录的。有几个热心朋友回答的是js,我把百度首页的js看了下,没有找到一丝的手持设备判断的信息,我也就回答了两句,这里的判断应该属于程序部分的处理,不属于前端的范畴,是靠判断请求头信息(HTTP_USER_AGENT)进行判断的。不知道这位朋友能不能明白。   为了验证这个结论,这里我用fir...
CTF-Web28(涉及http伪造
→_→
10-01 2095
28.有点大 分析: 根据题目意思要满足三个条件才可以 第一个是安装.net9.9框架 第二个是保证在英国地区 第三个是用ie浏览器 第一个和第三个我们可以在User-Agent后加上(MSIE 9.0;.NET CLR 9.9)来实现 最后一个在英国我们把语言改成en-gb即可 修改 结果 具体解析摘自:https://blog.csdn.net/Everywhere_wwx/article/details/78266399 首先...
CTF IP伪造http请求头
qq_50351194的博客
05-19 355
X-Forwarded-For: 127.0.0.1 X-Forwarded: 127.0.0.1 Forwarded-For: 127.0.0.1 Forwarded: 127.0.0.1 X-Requested-With: 127.0.0.1 X-Forwarded-Proto: 127.0.0.1 X-Forwarded-Host: 127.0.0.1 X-remote-IP: 127.0.0.1 X-remote-addr: 127.0.0.1 True-Client-IP: 127.0.0.1 X
local-market-backend:本地市场应用后端
03-10
"local-market-backend:本地市场应用后端"是一个项目,它主要关注的是构建一个服务于本地市场的应用程序的后端部分。这个项目使用了JavaScript编程语言,暗示了它可能基于Node.js平台,因为JavaScript通常用于服务器...
Python开发工程师学会用 Django 框架实现功能:理解 HTTP.zip
05-21
首先,我们需要理解HTTP(超文本传输协议)是互联网上应用最广泛的一种网络协议,用于从万维网服务器传输超文本到本地浏览器的传输协议。HTTP工作在客户端-服务器模型中,用户通过浏览器发起请求,服务器接收到请求...
文件后端:관리자와
02-17
6. **安全考虑**:包括验证用户身份、授权文件访问权限、防止跨站脚本攻击(XSS)和跨站请求伪造(CSRF)等。 7. **错误处理和日志记录**:确保系统稳定性和可维护性,JavaScript中的try-catch语句和全局错误监听...
C++后端开发知识点汇总
weixin_42947653的博客
11-15 2847
1.进程与线程的本质区别、以及各自的使用场景。 线程是进程的一部分,进程是程序的一部分。进程是分配资源的基本单位;线程是系统调度和分派的基本单位> 异同点: 进程是资源分配的基本单位,而线程是调度的基本单位。 进程与进程之间是独立的,一个进程的异常终止不会影响其它进程,而线程与线程之间大部分是共享的,一个线程的异常终止会影响其它线程,会使进程终止。 调度和切换:线程上下文切换比进程上下文切...
伪造本地ip
cainiao17441898的博客
05-17 511
解题: 猜测一个账号密码: 发现要本地管理员才能访问,在源码最后发现了一个base64编码的一个字符串解码之后是test123。 那么用X-Forwarded-For伪造本地ip的身份。猜测test123是账号密码。但是不对。 后面看了别人的解法发现用户名改成admin就行了。 总结 总的来说这个题还是挺简单的,就是考了个伪造本地ip:X-Forwarded-For:127.0.0.1 ...
实验吧-貌似有点难-http部ip地址伪造
weixin_33896726的博客
11-09 399
2019独角兽企业重金招聘Python工程师标准>>> ...
HTTP伪造
陈艺秋的博客
04-17 597
打开后是一个精美的页面,再精美也没啥用,先查看源码吧可以看到这里有个点击触发的a标签,点进去后提示我不来自,结合题目是HTTP,立刻就想到了HTTP请求头伪造抓包,本身是没有Referer字段的,这里可以自行添上,模拟发包后又出现回显提示,说请使用Syclover浏览器访问可以尝试更改User-Agent字段的信息,结果又说我只能在本地访问,这里就不会了经过查找扩展了有关信息,虽然之前也遇到过,但是选择性忘记了。
请求头伪装
qq_39436051的博客
10-21 782
headers = { 'origin':'https://y.qq.com', # 请求来源 'referer':'https://y.qq.com/n/yqq/song/004Z8Ihr0JIu5s.html', # 请求来源 'user-agent':'Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 S
【CTF】SSRF服务器端请求伪造
qq_53099119的博客
04-02 2502
从本题来看,他说他在baidu.com下放了一个flag.txt,但是试想一下,这个baidu.com是不可能为真正的百度的那个域名的,所以此处这个baidu.com应该为出题者所建的一个目录,所以就是ssrf读文件,我们就想到使用file协议来读取flag.txt这个文件。此处表示,截取所输入内容中的从第7位开始,长度为9的字符串,如果他的内容为baidu.com,那么程序也会die,而且我们所需要用的file://协议恰巧与http://协议长度相同,就很气人。
网络基础 【HTTP
最新发布
努力学习C/C++
10-04 1128
我们平时所说的"网址",就是传说中的URL。我们在浏览器输入抖音的网址,就能访问抖音,可是我们平时并不知道抖音。
python http访问本地文件
06-09
您可以使用Python内置的`http.server`模块来启动一个简单的HTTP服务器,以便从本地访问文件。 以下是在本地启动HTTP服务器并从浏览器中访问本地文件的示例代码: ```python import http.server import socketserver PORT = 8000 Handler = http.server.SimpleHTTPRequestHandler with socketserver.TCPServer(("", PORT), Handler) as httpd: print("Serving at port", PORT) httpd.serve_forever() ``` 上述代码将在本地启动HTTP服务器,监听端口为8000。然后,您可以在浏览器的地址栏中输入`http://localhost:8000/`来访问本地文件。 请注意,此方法仅适用于本地文件。如果您需要从远程计算机访问本地文件,则需要将本地文件上传到Web服务器或使用其他方法提供远程访问
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值