攻防世界 web 009 XFF Referer burp

最新推荐文章于 2024-05-09 14:16:01 发布
最新推荐文章于 2024-05-09 14:16:01 发布
阅读量1.3k 收藏 1
点赞数 5
分类专栏: 攻防世界 安全 文章标签: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lu__xiao/article/details/121641522
版权

XFF头:全名X-Forwarded:代表客户端,html请求端的真实 IP 只有通过  HTTP 代理或者负载均衡服务器时才会添加该项(可伪装)

用法:  X-Forwarded-For:123.123.123.123

Referer:Referer 是 HTTP 请求 header 的一部分当浏览器或者模拟浏览器行为向 web 服务器发送请求时,头部会包含 Referer (可伪装)

使用 brup 工具  kali 上自带

攻防世界  web 新手   009  XFF  Referer

打开网页显示

kali上打开 burp 修改浏览器代理 访问网站  获得数据包 

发送到Requst 修改 X-Forwarded-For:123.123.123.123

从返回的信息看到必须用google

 修改 Referer:https://www.google.com

获取到cyberpeace{5c27a3ca734e5321f88523a5bc640b83}

Lu__xiao
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【墨子学院Writeup】用火狐插件ModifyHeader或者burpsuit来伪造Referer(来源页)获取flag(KEY)
iqiqiya的博客
05-23 4705
有好多种方法   但都是通过伪装Referer先看看题目页面上有一个按钮点击会提示当前页面只允许从google.com访问    猜测需要burp抓包  根据上边提示加上Referer: google.com就可以啦可是需要注意了   这里是个坑    必须是http://www.google.com才可以。。。恭喜成功伪造来源页!<br>KEY:mozhe50e6fba2b50dc9...
与上0xFF的意义.zip
06-05
当我们看到表达式"0xFF"时,它实际上是一个十六进制数,其二进制形式为11111111。结合"&"运算符,我们探讨的是C语言中的位操作部分,特别是按位与运算。 位操作在计算机科学中起着核心作用,因为计算机内部是以二...
攻防世界-xff_referer
m0_49025459的博客
12-30 245
抓包看看,打开场景,页面提示我们ip必须是123.123.123.123,我们就想到burpsuite抓包,添加上X-Forwarded-For:123.123.123.123。我们看到页面提示必须来自https://www.google.com,那我们添加Referer:https://www.google.com。
Burp插件之BurpSuitFake
最新发布
2301_80115097的博客
05-09 280
在最近的测试中发现一个问题某些高校在在登陆教务平台登陆的时候没有设置验证码而且重点是 他写的很清楚 密码是身份证后六位以下是我的一些思路和过程中解决的办法。
攻防世界-wp-WEB-新手区-9-xff_referer
Scorpio_m7
07-19 375
题目来源: Cyberpeace-n3k0 题目描述: X老师告诉小宁其实xffreferer是可以伪造的。 题目场景: 111.200.241.244:56031 题目思路: 本题是考察的HTTP头的伪装修改 X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来
Web学习index.php、burp抓包爆破、XFFReferer
qq_53099802的博客
04-21 3449
XFFReferer,burp的理解应用
webxffreferer
recordliu的博客
01-28 1742
webxffreferer XFF字段 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。通俗来说,就是浏览器访问网站的IP。一般格式: X-Forwarded-For: client1, proxy1, proxy2, proxy3 左边第一个是浏览器IP,依次往右为第一个代理服务器IP,第二个,第...
Web安全原理剖析(十一)——XFF注入攻击
Phantom03167的博客
10-03 1万+
XFF注入攻击
linux 下将指定文件以0xFF填充到指定大小源码
01-15
linux 下将指定文件在结尾添加0xFF添加到指定大小(源码)。用法gcc 编译后运行,有帮助命令。4G以上文件未测试。(A:代码风格糟糕注释少,还是没人用的生僻工具,骗分!B:啥~骗分?技术上的事情不叫骗。)
Java Web开发之MD5加密用法分析
09-03
hexString.append(String.format("%02x", b & 0xff)); } System.out.println("原始密码:" + originalPassword); System.out.println("加密后:" + hexString.toString()); } } ``` 这段代码将字符串...
把bin填充0xFF到指定大小(含源码)
12-25
在mcu开发的时候, 特别是做升级文件的时候, 我们有时候需要把一个bin文件,填充指定大小,填充0xFF。 做了一个很简单的小工具,填充0xFF,到指定大小,例如16K。利用批处理就可以执行,支持相对路径。
将bin填充0xFF到指定大小(含源码)
01-15
这里的“将bin填充0xFF到指定大小”是一个常见的需求,主要目的是确保固件文件的大小满足硬件设备的特定要求。在这个场景中,由于升级的Flash内存必须是16MB,但下载的文件可能小于这个容量,因此需要通过编程手段来...
攻防世界刷题记录
spongbob1的博客
12-14 206
xff_referer 进入题目,看到 于是用brup抓包,在http头加一条X-Forwarded-For: 123.123.123.123 发送请求 在响应中看到必须来自谷歌 于是再次增加一条Referer: https://www.google.com 再次发送请求,在响应中得到flag weak_auth 进入题目,看到需要登录,随便输入一个用户名和密码 弹出弹窗提示用admin账户登录 于是用确定用户名为admin F12,提示需要一个字典,意思是要进行爆破 于是用burp进行爆破,当密
burp数据包参数详解
m0_51581045的博客
11-08 2587
写给我好学的徒弟吴doc
【CTF-web修改请求头(XFF
Sankkl1的博客
08-13 873
该请求标头是一个事实上的用于标识通过代理服务器连接到 web 服务器的客户端的原始 IP 地址的标头。我们可以通过伪造XFF头来假装本地登录,即在request头中加入。随意输入后可以看到需要本地管理员登录,得知这是一道需要修改XFF头的题。
攻防世界新手练习区10之xff_referer
qq_37872337的博客
08-19 1249
0x00        Tips:X老师告诉小宁其实xffreferer是可以伪造的。看这道题的描述,发现应该是去DIY数据包了,这里可以使用burp抓包。        首先介绍一下xff,全称为X-Forwarded-For,在数据包中负责提供用户客户端的IP,后端可以用一些全局数组来获取这个字段;referer字段,也为http协议中的一个字段,标示着本次请求是
文件下载---base64
热门推荐
大香蕉的博客
11-18 18万+
前端文件下载 base64前缀
WEB安全学习第二天:BurpSuit的使用
weixin_43171447的博客
04-16 591
BurpSuit完成简单CTF题目
WEB安全-伪造X-Forwarded-For绕过服务器IP地址过滤
06-01 2万+
转自:http://www.jianshu.com/p/98c08956183d 在正常的TCP/IP 通信中,是可以伪造数据包来源 IP 的,但这会让发送出去的数据包返回到伪造的IP上,无法实现正常的通信。 实现TCP/IP层级别的伪造很难,因为很难实现正常的TCP连接;但是在应用层协议HTTP上的实现较容易,通过伪造IP,能欺骗多数服务器应用程序实现通信。对于绕过服务器的IP地址
Delphi的Abort和Exit有什么区别
03-22
Delphi的Abort和Exit都是用于程序中断的关键字,但它们的作用不同。Abort用于强制中断程序的执行,而且不会执行finally块中的代码,而Exit则是正常退出程序,并且会执行finally块中的代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值