攻防世界xff和refereer

最新推荐文章于 2024-04-19 09:30:00 发布
最新推荐文章于 2024-04-19 09:30:00 发布
阅读量827 收藏
点赞数
分类专栏: 学习 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73303597/article/details/127766312
版权

终于把攻防世界里面WEB安全的难度一的题做完了(一些个我认为比较难的题后面也会写个博客),开始做难度二题。

----------------------------------------------------------------------------开始正经

原题:攻防世界

 这个题难度不是很大,其实就是看我们聊不了解xff和referer的含义。

官话我这里就不引用了。用自己话来说xff用来告诉服务器我们的真实ip地址,referer用来告诉服务器我们的用来访问的网页。

我们打开网页发现只有这么一句话

 用burp抓包后看到

抓取的数据并没有 xff和referer,结合题目要求所以我们给他添加一个xff

xff添加的格式为X-Forwarded-For:ip地址。

在burp的重发器那里添加后点击攻击可以看到

题目又规定我们的referer必须来自谷歌,所以我们又添加referer,让它等于www.google.com

再次重发后即可得到flag

 

花名咖啡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界-xxxorrr
qq_63699339的博客
05-13 506
d''":/m-T
网络安全学习笔记——XFF攻击流程
just do it
08-07 749
手动报错注入,填写格式如:X-Forwarded-For: ' and updatexml(1,concat(0x7e,(select database()),0x7e),1) or '1'='1。
攻防世界15:xff-referer
最新发布
weixin_49765221的博客
04-19 593
构造协议头
攻防世界RE练习区题目总结(1-10)
oxhbq的博客
03-06 1640
前言 这篇文章是我做完攻防世界练习区的题目后对这十道题做的总结。emmm,其实这几道题我几个月前就做完了,这几天又回去试着再做一遍发现还是有一些地方存在疑惑,并且速度也没有太大的提升。所以决定把之前做过的题目整理一下都写在博客里,便于以后复习顺便把一些我没搞懂的地方也记录在这里,希望以后可以解决。也希望能有大佬有缘看到我这个小菜鸟的文章,可以帮我指点迷津。 这一篇只写攻防世界新手区的几道题,之后我还会把BUUCTF做的题也做个总结,写一篇博客,希望可以把这个习惯保持下去。说了这么多废话,下面开始正文。
攻防世界-xff_referer
m0_49025459的博客
12-30 245
抓包看看,打开场景,页面提示我们ip必须是123.123.123.123,我们就想到burpsuite抓包,添加上X-Forwarded-For:123.123.123.123。我们看到页面提示必须来自https://www.google.com,那我们添加Referer:https://www.google.com。
5年经验,没听过XFF漏洞
爱琴孩的博客
08-05 1905
在日常开发中,我们经常需要获取请求的客户端ip,对请求ip做白名单配置,或者ip维度的接口限流。java中,获取客户端ip地址最简单的方式就是 request.getRemoteAddr(),即第一种方式。这种方式可以直接获取到连接服务器的客户端ip(在中间没有代理的情况下,的确是最简单有效的方式)。但是当今的互联网web应用很少会将应用服务器直接对外服务,有的甚至可能有多层代理。......
与上0xFF的意义.zip
06-05
1. **设置和清除位**:通过将一个数与特定的位模式(如0xFF)进行按位与,可以方便地设置或清除特定的位。例如,如果你想把一个字节的低8位清零,可以将其与0xFF进行按位与,因为0xFF的高8位为0,这样就会清除掉原有...
将bin填充0xFF到指定大小(含源码)
01-15
这里的“将bin填充0xFF到指定大小”是一个常见的需求,主要目的是确保固件文件的大小满足硬件设备的特定要求。在这个场景中,由于升级的Flash内存必须是16MB,但下载的文件可能小于这个容量,因此需要通过编程手段来...
linux 下将指定文件以0xFF填充到指定大小源码
01-15
linux 下将指定文件在结尾添加0xFF添加到指定大小(源码)。用法gcc 编译后运行,有帮助命令。4G以上文件未测试。(A:代码风格糟糕注释少,还是没人用的生僻工具,骗分!B:啥~骗分?技术上的事情不叫骗。)
关于(hd32) 和 (0xff)
08-15
map /iso.iso (0xff) || map --mem /iso.iso (0xff) 直接将iso映射为光盘; 若失败,则将iso载入内存后再映射。 请尽量用 (0xff) 来代替 (hd32), 就是说,原来你用 map (hd0,0)/iso.iso (hd32) 的, 你可以...
把bin填充0xFF到指定大小(含源码)
12-25
在mcu开发的时候, 特别是做升级文件的时候, 我们有时候需要把一个bin文件,填充指定大小,填充0xFF。 做了一个很简单的小工具,填充0xFF,到指定大小,例如16K。利用批处理就可以执行,支持相对路径。
攻防世界(WEB) xff_referer
qq_54929891的博客
08-26 1979
首先做之前,先去了解一下xff和referer是什么东西 xff:X-Forwarded-For(header里面的一部分) 就是浏览器访问一个网站的ip地址 详细可以看另一位博主https://blog.csdn.net/weixin_43605586/article/details/100607877?utm_term=xff%E6%98%AF%E4%BB%80%E4%B9%88%E4%B9%88&utm_medium=distribute.pc_aggpage_search_result.
regexpire_攻防世界_csaw_wp
m0_73559432的博客
09-21 201
转载:https://www.megabeets.net/csaw-2016-regexpire/
用burpsuit伪造xxf
m0_63075988的博客
11-17 996
首先拿到题目 打开后 啥都没有,对身份有限制,再根据题目,要伪造xxf,用百度搜索 可通过抓包改包工具,由此想到抓包 抓到了,然后呢 还是不会,怎么办,继续搜 ┗|`O′|┛ 嗷~~,原来是这样 放包 就有了,复制粘贴放回去提交就行了 ...
XCTF攻防世界练习区-web题-xff_referer
热门推荐
果冻先生的专栏
09-30 2万+
0x08 XFF Referer 【题目描述】 X老师告诉小宁其实xff和referer是可以伪造的。 【目标】 掌握有关X-Forwarded-For和Referer的知识: (1)X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。xff 是http的拓展头部,作用是使Web服务...
XCTF攻防世界web新手练习_ 6_xff_referer
silence1_的博客
04-28 1万+
XCTF攻防世界web新手练习—disabled_button 题目 题目为xff_referer,描述信息 根据描述信息,知道题目应该与xff和referer相关 进入题目,看到 于是用brup抓包,在http头加一条X-Forwarded-For: 123.123.123.123 发送请求 在响应中看到必须来自谷歌 于是再次增加一条Referer: https://www.google.c...
攻防世界 web xff_referer
shidonghang的博客
10-26 2535
xff_referer 题目 场景 过程 使用火狐的X-Forwarded-For Header来更改IP为123.123.123.123。 重新编辑报文,在最下面加入Cache-Control:max-age=0,再发送。 从响应载荷下面一长串中可以找到flag。 ...
攻防世界新手练习区10之xff_referer
qq_37872337的博客
08-19 1249
0x00        Tips:X老师告诉小宁其实xff和referer是可以伪造的。看这道题的描述,发现应该是去DIY数据包了,这里可以使用burp抓包。        首先介绍一下xff,全称为X-Forwarded-For,在数据包中负责提供用户客户端的IP,后端可以用一些全局数组来获取这个字段;referer字段,也为http协议中的一个字段,标示着本次请求是
Web安全原理剖析(十一)——XFF注入攻击
Phantom03167的博客
10-03 1万+
XFF注入攻击
攻防世界repeater
08-31
- *1* *3* [攻防世界——xff_referer](https://blog.csdn.net/weixin_73668856/article/details/128004633)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值