了解XFF与Referer
XXF:
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。
Referer:
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。简单地说,xff是告诉服务器当前请求者的最终ip的http请求头字段通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip
简单的来说:
xff 是http的拓展头部,作用是使Web服务器获取访问用户的IP真实地址(可伪造)。由于很多用户通过代理服务器进行访问,服务器只能获取代理服务器的IP地址,而xff的作用在于记录用户的真实IP,以及代理服务器的IP。
格式为:X-Forwarded-For: 本机IP, 代理1IP, 代理2IP, 代理2IP
referer 是http的拓展头部,作用是记录当前请求页面的来源页面的地址。服务器使用referer确认访问来源,如果referer内容不符合要求,服务器可以拦截或者重定向请求。
即:XFF构造来源IP,Referer构造来源浏览器!!!!
题目
解题方法:
方法一:用火狐的HackBar插件
进入环境
按F12,修改http扩展头部 X-Forwarded-For: 123.123.123.123
得到新的响应
再继续构造包,添加一个referer:https://www.google.com
最后得到flag
方法二:用Burpsuite进行抓包然后改包
进入环境
用Burpsuite抓包,并进行改包
X-Forwarded-For:123.123.123.123
得到了的响应:
构造包:
X-Forwarded-For: 123.123.123.123
referer:https://www.google.com
得到的响应里面就有flag