伪造IP

最新推荐文章于 2023-08-27 14:29:00 发布
最新推荐文章于 2023-08-27 14:29:00 发布
阅读量2.9k 收藏 1
点赞数 1
分类专栏: CTF Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mr_shiyang/article/details/105530969
版权

管理员系统

在这里插入图片描述既然是管理员系统,那么登录用户名就是admin,密码可对源码提示处的base64解码得到test123.

但是发现输入了之后依然出错,说IP禁止访问,而管理员可以本地登陆,那么就是要获修改IP,即127.0.0.1

X-Forwarded-For
X-Forwarded-For 是一个扩展头。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP,现在已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中.

由于X-Forwarded-For很容易构造,所以通过构造Http头X-Forwarded-For:
127.0.0.1来告诉服务器是原始访问IP是本地IP,就可以绕过了

bp抓包改造

在这里插入图片描述

Syangy
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言伪造请求ip 伪造请求ip 网页访问伪造ip
03-09
易语言伪造网页访问ip地址 结合HTTP扩展请求头 X-Forwarded-For 可以对客户端IP进行伪造 X-Forwarded-For 是一个 HTTP 扩展头部,用来表示HTTP请求端真实 IP,HTTP/1.1 协议并没有对它的定义,但现如今X-Forwarded-...
易语言伪造ip访问源码(全注释)
10-13
"易语言伪造ip访问源码(全注释)"这个标题指出,这是一个使用易语言编写的源代码,其主要功能是能够伪造IP地址来访问网站。易语言是中国本土开发的一种编程语言,旨在简化编程过程,使得非专业程序员也能进行软件开发...
构造HTTP请求Header实现“伪造来源IP”(重在原理)
我的E家
12-17 3万+
转载自: http://zhangxugg-163-com.iteye.com/blog/1663687 http://www.walkerjava.com/index.php?m=blog&f=view&id=10 1. 伪造原理 在阅读本文前,大家要有一个概念,在实现正常的TCP/IP 双方通信情况下,是无法伪造来源 IP 的,也就是说,在 TCP/IP 协议中
墨者学院——IP地址伪造(第2题)
最新发布
2303_76679642的博客
08-27 280
本题有两个解决方法步骤1:进入靶场后,首先看到的是登录界面,我们尝试使用弱密码(test)发现显示的是下图所示步骤2:根据提示,此时我们只需要将IP设置为台湾IP就行,所以本题我们将用到一个插件X-Forwarded-For Header (这个插件可以在火狐上进行下载)这里讲一下如何下载插件X-Forwarded-For Header:添加插件步骤1:添加插件步骤2: 添加插件步骤3: 添加插件步骤4:下载完成之后,会有一个对话框如下,点击添加即可这样就能在url地址框后面看到该插件,完成操作后,如果不
系统安全实验(伪造IP,输出重定向获取flag)
weixin_53562571的博客
03-23 564
在Linux系统中文件的权限是很重要的一部分,通常的权限由读、写、执行三位组成,对每个文件都指定了文件所有者、同用户组的权限和其它非本用户组的权限。我们现在要查找的是SUID这种特殊权限,所以要使用的必然是四位数字组合。注意,数字0表示忽略相应位置的权限,也就是说不考虑rwx权限,所以4000就表示查找被设置了SUID权限的文件,至于其它的rwx权限则根本不考虑。如果不加“-”,表示精确匹配,也就是查找的文件权限就是“4000”,除了suid权限之外,其它的rwx权限通通没有,这明显不符合要求。
利用X-Forwarded-For伪造客户端IP漏洞成因及防范
热门推荐
叉叉哥的BLOG
10-15 6万+
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
CTF做题小记
weixin_51536807的博客
01-22 3326
1.XCTFWeb新手区xff_referer 根据题目描述先了解XFF和Referer。 再看到题目中的“ip地址必须为123.123.123.123”我们可以想到用BP抓包修改IP地址。 在请求中加入 X-Forwarded-For:123.123.123.123 注:要加在Connection: close之前 发现得到了一句话: 这时就要用上Referer伪造了。 再次添加 Referer:https://www.google.com 后发送即可得到flag。 2.XCTFWeb新
如何伪造IP 发送HTTP请求request
01-15
伪造IP意味着在发送网络请求时,使用非自身的真实IP地址,这在某些情况下可能被用作掩盖真实身份的手段。 2. **HTTP协议**:HTTP协议定义了客户端(如Web浏览器)和服务器之间交换数据的格式和规则。一个HTTP请求...
php curl 伪造IP来源的实例代码
10-27
php curl 太强大了,它不但可以模仿用户登录,还可以模仿用户IP地址哦,为伪造IP来源,本实例仅供参考哦
伪造IP协议头 易语言
05-06
用协议头欺骗服务器,来造成伪造IP地址的效果!
IP伪装软件
09-28
一款不错ip伪装软件,可用于破解游戏ip注册限制。
伪造IP发送数据(UDP)
lycommand的专栏
12-21 7374
#include #include #include #include #include #include "protoinfo.h" #pragma comment (lib,"ws2_32.lib") using namespace std; #define SOURCEPORT 65432 #define DESTPORT 65431 USHORT CheckSum(PUSHO
安全开发之IP地址伪造
cavalier的学习之路
10-11 1万+
1.1  IP地址伪造漏洞 1.1.1  漏洞挖掘 1.1.1.1  漏洞描述 漏洞描述: IP地址伪造通常是伪造来源IP,为了绕过服务器端IP地址过滤,导致非授权IP地址可以获取更多的防问权限。在正常的TCP/IP 通信中,可以伪造数据包来源 IP 的,但这会让发送出去的数据包返回到伪造IP上,无法实现正常的通信。既然无法实现TCP/IP层级别的IP伪造,那么可以在应用层协议HTTP上
一个用于伪造IP地址进行爆破的BurpSuite插件:BurpFakeIP
qq_50854662的博客
09-24 3192
BurpFakeIP介绍 一个用于伪造ip地址进行爆破的BurpSuite插件,burpsuite伪造ip可用于突破waf及进行安全规则绕过等场景;昨天我们分享了《BurpSuite IP代理扩展,使用AWS API网关动态更改请求:IPRotate_Burp_Extension》有同学也发现和今天推荐这个有点类似,但却又截然不同。毕竟AWS在国内确实太小众了,今天推荐的BurpFakeIP 伪造IP BurpSuite插件是你的另一个选择。 四个小功能 伪造指定ip伪造本地ip伪造随机ip随机ip
伪造IP的一段代码
08-31 1435
源代码如下:     int   TcpOptScan::send_tcp_raw(   SOCKET   sd,   struct   in_addr   *srcAddr,   struct   in_addr   *desAddr,   u16   srcPort,   u16   desPort,   u32   seq,   u32   ack,   u8   flags,u16   w
如何避免利用x-forwarded-for伪造ip
05-20
为了避免利用 X-Forwarded-For 伪造 IP,可以采取以下措施: 1. 使用反向代理服务器:反向代理服务器可以拦截 HTTP 请求,并且可以从 TCP 连接中获取客户端真实 IP 地址。使用反向代理服务器可以防止攻击者通过直接...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值