关于如何伪造本地ip访问服务器

最新推荐文章于 2024-05-09 09:19:51 发布
最新推荐文章于 2024-05-09 09:19:51 发布
阅读量6.1k 收藏 10
点赞数 5
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/W_seventeen/article/details/103377747
版权

BUGKU 管理员系统

首先打开题目发现是管理员登录页面,直接尝试下用户名admin,密码admin,然后放进burp抓包,想尝试暴力破解,结果发现用户名猜对了。尝试找密码,常规f12查看源码,发现了末尾处有典型的base编码加密。
在这里插入图片描述
怎么辨别base64编码,通常是A-Z,a-z,0-9,+,/,=。最后通常有0个到2个等号。
我也成功用在线解码器,确实是base64编码,解出test123
然后尝试登录,结果提示需要本地管理员登录,提示我们伪造本地ip身份访问,用burp抓包,然后右键发送给重放器,在头处添加进X-Forwardef-For:127.0.0.1,点击发送,得到flag

伪造请求头 X-Forwarded-For: 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP。 请求头格式:
X-Forwarded-For:client, proxy1, proxy2 client
即客户端真实ip,后两项是代理ip,可缺省,最终在服务端接收前都会被补齐。

在这里插入图片描述我虽然很菜,但也一定要加油啊!

W_seventeen
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
使用burpsuite伪造数据包数据
m0_60121089的博客
09-19 2540
代理设置:本地环回地址(如:127.0.0.1)和端口(8080),浏览器请求的数据包就会先发送到127.0.0.1:8080上,然后在转发给服务端。使用bp在127.0.0.1:8080上监听,开启拦截功能,就会抓到请求的数据包,点击forward才将数据包转发给服务端。根据题目要求,使用bp抓取关键数据包,更改数据包的数据,再转发出去,达到伪造的效果。搜索引擎可以辅助解题。
使用qt编写一个程序,伪造一个ip访问一个网站。
caridle的专栏
03-09 907
源: 与必应的对话, 2023/3/9(1) 关于如何伪造本地ip访问服务器_伪造ip地址访问网站_W_seventeen的博客-CSDN博客. https://blog.csdn.net/W_seventeen/article/details/103377747 访问时间 2023/3/9.header.append(0).append(0).append(source_ip[0]).append(source_ip[1]) # 校验和、源IP地址前两个字节。
黑客如何进行IP伪装
最新发布
2401_84618514的博客
05-09 1131
在进行互联网访问时候,我们如果被查到IP访问记录,就能根据IP查到具体位置,如果从事非法事情就会被请去喝茶。那么IP是什么?为什么可以根据IP进行查找并且分析主机数据?IP是Internet Protocol(网际互连协议)的缩写,是TCP/IP体系中的网络层协议。设计IP的目的是提高网络的可扩展性:一是解决互联网问题,实现大规模、异构网络的互联互通;二是分割顶层网络应用和底层网络技术之间的耦合关系,以利于两者的独立发展。
一个用于伪造IP地址进行爆破的BurpSuite插件:BurpFakeIP
qq_50854662的博客
09-24 3215
BurpFakeIP介绍 一个用于伪造ip地址进行爆破的BurpSuite插件,burpsuite伪造ip可用于突破waf及进行安全规则绕过等场景;昨天我们分享了《BurpSuite IP代理扩展,使用AWS API网关动态更改请求:IPRotate_Burp_Extension》有同学也发现和今天推荐这个有点类似,但却又截然不同。毕竟AWS在国内确实太小众了,今天推荐的BurpFakeIP 伪造IP BurpSuite插件是你的另一个选择。 四个小功能 伪造指定ip伪造本地ip伪造随机ip随机ip
伪造本地ip
cainiao17441898的博客
05-17 490
解题: 猜测一个账号密码: 发现要本地管理员才能访问,在源码最后发现了一个base64编码的一个字符串解码之后是test123。 那么用X-Forwarded-For伪造本地ip的身份。猜测test123是账号密码。但是不对。 后面看了别人的解法发现用户名改成admin就行了。 总结 总的来说这个题还是挺简单的,就是考了个伪造本地ip:X-Forwarded-For:127.0.0.1 ...
系统安全实验(伪造IP,输出重定向获取flag)
weixin_53562571的博客
03-23 565
在Linux系统中文件的权限是很重要的一部分,通常的权限由读、写、执行三位组成,对每个文件都指定了文件所有者、同用户组的权限和其它非本用户组的权限。我们现在要查找的是SUID这种特殊权限,所以要使用的必然是四位数字组合。注意,数字0表示忽略相应位置的权限,也就是说不考虑rwx权限,所以4000就表示查找被设置了SUID权限的文件,至于其它的rwx权限则根本不考虑。如果不加“-”,表示精确匹配,也就是查找的文件权限就是“4000”,除了suid权限之外,其它的rwx权限通通没有,这明显不符合要求。
web12:本地管理员(http请求,伪造IP,XFF字段)
y17861077326的博客
02-02 2538
这道题,提示是IP禁止访问。看了答案以后,说是伪造本地IP。 不允许外来IP访问,那么应该就是本地IP可以访问了,本地IP又称回送地址,用于本地软件测试,进程间通信。 伪造本地IP的方法是在http头上加一个字段X-Forwarded-For:127.0.0.1 另外在网页源码里有一串Base64字符,解码后是test123 管理员系统的账号常为admin,所以猜test123是其密码。 所以伪造http头,加一个字段伪造来源为本地IP即可破解题目。 ...
获得访问者的IP地址
11-01
在IT行业中,获取访问者的IP地址是一项常见的需求,特别是在服务器端编程、网站分析以及安全监控等领域。本项目提供了一个解压后的程序,可以用于演示如何在Java Web环境中获取用户的IP地址。通过使用Eclipse集成...
php 获取本地IP代码
10-27
在PHP编程中,获取本地或客户端的IP地址是一项常见的任务,尤其在处理网络请求和提供个性化服务时。本文将深入探讨如何使用PHP获取IP地址,以及相关知识点。 首先,我们需要理解IP地址的基本概念。IP(Internet ...
php采用curl实现伪造IP来源的方法
12-19
例如,`123.125.68.` 和 `125.90.88.` 是IP地址的一部分,后面加上0到254的随机数,就可以创建一个看似真实的IP地址。 ```php $cip = '123.125.68.'.mt_rand(0, 254); $xip = '125.90.88.'.mt_rand(0, 254); ``...
总结一些你可能不知道的ip地址
10-19
当我们尝试访问http://127.1时,浏览器会自动补全为127.0.0.1,因为它理解这是指向本地主机的IP地址。这是因为根据IPv4的规则,127.0.0.0/8这一段的IP地址被保留用于环回测试,127.1被视为127.0.0.1的简写。 其次,...
易语言-易语言伪装虚拟IP例子
06-25
2. 绑定IP和端口:通过`绑定`命令将套接字与本地IP地址和端口号关联,这里可以绑定到一个随机端口或者特定端口。 3. 设置IP伪装:在TCP/IP协议栈中,可以通过设置套接字选项(例如SO_SNDBUF)来改变发送数据时的源...
33_浏览伪造IP地址
零基础 Openresty 高性能网站开发
04-04 462
由此可见:通过手动修改 HTTP请求头(X-Forwarded-For)的方式,就可以轻易骗过服务器,达到所谓的“伪造”客户端IP地址的目的,当然这招并非对于所有的网站有效(这取决于服务器获取ClientIP的方式),比如百度搜索IP所显示的IP还是你的真实IP。获取ClientIP的方式),比如百度搜索IP所显示的IP还是你的真实IP
安全开发之IP地址伪造
热门推荐
cavalier的学习之路
10-11 1万+
1.1  IP地址伪造漏洞 1.1.1  漏洞挖掘 1.1.1.1  漏洞描述 漏洞描述: IP地址伪造通常是伪造来源IP,为了绕过服务器IP地址过滤,导致非授权IP地址可以获取更多的防问权限。在正常的TCP/IP 通信中,可以伪造数据包来源 IP 的,但这会让发送出去的数据包返回到伪造IP上,无法实现正常的通信。既然无法实现TCP/IP层级别的IP伪造,那么可以在应用层协议HTTP上
伪造来源IP欺骗
技术博客
03-24 4612
一,获取客户端IP目的         一般对于访问比较频繁的接口,服务端都会根据IP做接口访问频率限制;例如,对于给定的IP,1分钟只能调用接口100次,频率过快服务端可以针对该IP进行特殊处理,比如接口直接调用失败或加入IP黑名单列表等操作。那么,对于服务端来说,能够获取客户端真实的IP信息,是至关重要的。   二,如何伪造来源IP,欺骗服务端           #获取客户端I...
伪造Http请求IP地址
xxxcyzyy的博客
06-26 6381
https://blog.csdn.net/rodjohnson_523391/article/details/84896392 注意:[color=red][b]伪造Http请求IP地址一般为非推荐使用手段[/b][/color] 一般使用:[color=red][b]简单投票网站重复投票,黑别人网站[/b][/color] 在项目开发中(web项目),我负责的系统(简称PC),需要...
Python搭建可外网访问的本地网站
05-03
要搭建可外网访问的本地网站,需要满足以下条件: 1. 有一个公网 IP 地址,可以通过这个 IP 地址访问本地网站。 2. 配置路由器端口转发,将外部请求转发到本地网站的 IP 和端口。 3. 搭建一个 Web 服务器,将本地网站发布到公网上。 下面以 Python Flask 框架为例,介绍如何搭建可外网访问的本地网站。 1. 安装 Flask 框架 首先需要安装 Flask 框架,可以使用 pip 命令进行安装: ``` pip install Flask ``` 2. 编写 Flask 应用 在 Python 脚本中编写 Flask 应用,并指定监听的 IP 和端口,例如: ```python from flask import Flask app = Flask(__name__) @app.route('/') def hello(): return 'Hello World!' if __name__ == '__main__': app.run(host='0.0.0.0', port=5000) ``` 这个应用监听所有网络接口的 5000 端口,并返回一个简单的字符串。 3. 配置路由器端口转发 在路由器中配置端口转发,将外部请求的某个端口转发到本地机器的 5000 端口,具体方式可以参考路由器的说明文档。 4. 启动 Flask 应用 在本地机器上运行 Flask 应用,可以使用以下命令: ``` python app.py ``` 这个命令会启动 Flask 应用,并监听 0.0.0.0:5000,可以通过浏览访问。 5. 访问本地网站 通过公网 IP 地址和路由器配置的端口号,即可访问本地网站,例如: ``` http://公网 IP 地址:路由器配置的端口号/ ``` 注意:在搭建本地网站时,需要注意安全问题,避免出现被攻击等问题。可以使用 HTTPS 进行加密通信,也可以进行一些安全设置,例如限制 IP 访问、设置密码等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值