关于如何伪造本地ip访问服务器

最新推荐文章于 2024-07-22 14:45:29 发布
最新推荐文章于 2024-07-22 14:45:29 发布
阅读量6.2k 收藏 10
点赞数 5
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/W_seventeen/article/details/103377747
版权

BUGKU 管理员系统

首先打开题目发现是管理员登录页面,直接尝试下用户名admin,密码admin,然后放进burp抓包,想尝试暴力破解,结果发现用户名猜对了。尝试找密码,常规f12查看源码,发现了末尾处有典型的base编码加密。
在这里插入图片描述
怎么辨别base64编码,通常是A-Z,a-z,0-9,+,/,=。最后通常有0个到2个等号。
我也成功用在线解码器,确实是base64编码,解出test123
然后尝试登录,结果提示需要本地管理员登录,提示我们伪造本地ip身份访问,用burp抓包,然后右键发送给重放器,在头处添加进X-Forwardef-For:127.0.0.1,点击发送,得到flag

伪造请求头 X-Forwarded-For: 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP。 请求头格式:
X-Forwarded-For:client, proxy1, proxy2 client
即客户端真实ip,后两项是代理ip,可缺省,最终在服务端接收前都会被补齐。

在这里插入图片描述我虽然很菜,但也一定要加油啊!

W_seventeen
关注
专栏目录
bugku ctf 管理员系统 (伪造x-forwarded-for绕过服务器IP)
qq_42777804的博客
05-18 4546
随便输入 发现 ip禁止访问 与本地管理员联系登陆 我们查看源码 到最后发现 <!-- dGVzdDEyMw== --> 在线base64解密得到 test123 Username: admin Password:test123 发现居然还是不能提交 那么burp抓包 发给 repeater 发现了可以通...
伪造IP访问URL
再见伍德
10-09 2898
$url = http://www.baidu.com/;//$url = http://test.cn/test.php;for ($i=0;$i $myIP = rand(0, 255) . . . rand(0, 255) . . . rand(0, 255) . . . rand(0, 255); getUrl($url, $myIP);} functi
伪造一个IP地址来访问网站数据
weixin_39728460的博客
01-04 6546
public class QueryKuaiDiFetch { public static final String QUERYURL = "http://www.kuaidi100.com/query?"; public static String setUrl(String logisticsCode, String logisticsNo) { Strin...
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)_靶场漏洞防护
最新发布
2401_85773496的博客
07-22 1148
Web渗透分为以下几个步骤,信息收集,漏洞扫描,漏洞利用,提权,内网渗透,留后门,清理痕迹。一般的渗透思路就是看是否有注入漏洞,然后注入得到后台管理员账号密码,登录后台,上传小马,再通过小马上传大马,提权,内网转发,进行内网渗透,扫描内网c段存活主机及开放端口,看其主机有无可利用漏洞(nessus)端口(nmap)对应服务及可能存在的漏洞,对其利用(msf)拿下内网,留下后门,清理痕迹。Shell、文件上传、暴力枚举、编码、批量注入测试等强大的功能,是一款非常不错的工具,也是渗透测试人员的强大助手。
易语言伪造ip访问源码(全注释)
10-13
源码可以伪造ip访问多数论坛网站,用于隐藏访问痕迹,还可以刷很多论坛的论坛币(如论坛中有:推广访问加金币的)
伪造本地ip
cainiao17441898的博客
05-17 505
解题: 猜测一个账号密码: 发现要本地管理员才能访问,在源码最后发现了一个base64编码的一个字符串解码之后是test123。 那么用X-Forwarded-For伪造本地ip的身份。猜测test123是账号密码。但是不对。 后面看了别人的解法发现用户名改成admin就行了。 总结 总的来说这个题还是挺简单的,就是考了个伪造本地ip:X-Forwarded-For:127.0.0.1 ...
如何伪造http头,让后端认为是本地访问
HAI_WD的博客
09-01 2956
这个知识点纯粹就是为了ctf准备的,很少有系统会出现这种情况。
使用qt编写一个程序,伪造一个ip访问一个网站。
caridle的专栏
03-09 955
源: 与必应的对话, 2023/3/9(1) 关于如何伪造本地ip访问服务器_伪造ip地址访问网站_W_seventeen的博客-CSDN博客. https://blog.csdn.net/W_seventeen/article/details/103377747 访问时间 2023/3/9.header.append(0).append(0).append(source_ip[0]).append(source_ip[1]) # 校验和、源IP地址前两个字节。
获得访问者的IP地址
11-01
在IT行业中,获取访问者的IP地址是一项常见的需求,特别是在服务器端编程、网站分析以及安全监控等领域。本项目提供了一个解压后的程序,可以用于演示如何在Java Web环境中获取用户的IP地址。通过使用Eclipse集成...
php 获取本地IP代码
10-27
在PHP编程中,获取本地或客户端的IP地址是一项常见的任务,尤其在处理网络请求和提供个性化服务时。本文将深入探讨如何使用PHP获取IP地址,以及相关知识点。 首先,我们需要理解IP地址的基本概念。IP(Internet ...
客户端IP地址伪造
fjjjyf的博客
11-14 5519
客户端IP地址伪造
php采用curl实现伪造IP来源的方法
12-19
例如,`123.125.68.` 和 `125.90.88.` 是IP地址的一部分,后面加上0到254的随机数,就可以创建一个看似真实的IP地址。 ```php $cip = '123.125.68.'.mt_rand(0, 254); $xip = '125.90.88.'.mt_rand(0, 254); ``...
伪造IP访问
u012467744的博客
04-17 1975
IP测试样例 <?php set_time_limit(0); ini_set('memory_limit', '-1'); //ini_set('max_execution_time', 0); $n = 1; for($i = 0; $i < $n; $i++){ //ignore_user_abort(true);//关掉浏览器,PHP脚本也可以继续执行...
伪造IP
Mr_Shiyang的博客
04-25 2975
管理员系统 既然是管理员系统,那么登录用户名就是admin,密码可对源码提示处的base64解码得到test123. 但是发现输入了之后依然出错,说IP禁止访问,那么就是要获得本地IP,即127.0.0.1 X-Forwarded-For X-Forwarded-For 是一个扩展头。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来...
IP访问伪造
wangjian1012的博客
04-17 959
利用bs软件抓取网页访问请求,http头中添加X-Forwarded-for 或者client-ip伪造自身ip
如何在服务器上添加虚拟IP?看完原来如此简单!!
冰河的专栏
10-30 4667
还不会在服务器上添加虚拟IP?来看看这篇文章吧!!
伪造本地ip --BugKu14管理员系统
s11show_163的博客
11-26 657
老规矩先f12看源码发现最下面有一个base64编码的字符串,解码得test123,怀疑是密码,因为是管理员所以经验判断账号是admin,当然也可以暴力破解:(但是我爆破没得到test123的) 但是这个有时候发的包不能用不知道为啥。 ...
loadrunner伪装ip访问网页
小桥流水的专栏
05-26 1894
参考于虫师的介绍:http://www.cnblogs.com/fnng/archive/2013/03/02/2940284.html action代码:Action() { //验证IP欺骗代码 char * ip ; ip = lr_get_vuser_ip(); if (ip) lr_error_message("当前虚拟用户使用的IP为: %s", ip); el
如何伪造ip访问数据包
m0_59855041的博客
06-03 1644
6. 使用伪造IP地址的工具:有一些工具可以用于伪造IP地址,例如Scapy、Hping3等。这些工具可以生成伪造IP数据包,并且可以自定义IP地址、端口号等信息。5. 使用虚拟专用网络(VPN):使用VPN可以将真实的IP地址隐藏起来,并且可以通过更改VPN服务器IP地址来伪造访问数据包的来源IP地址。4. 使用代理服务器:使用代理服务器可以隐藏真实的IP地址,同时可以通过更改代理服务器IP地址来伪造访问数据包的来源IP地址。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值