攻防世界新手练习区10之xff_referer

最新推荐文章于 2024-08-14 21:03:30 发布
最新推荐文章于 2024-08-14 21:03:30 发布
阅读量1.2k 收藏 4
点赞数 3
分类专栏: 攻防世界 笔记 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37872337/article/details/108094864
版权

0x00

       Tips:X老师告诉小宁其实xff和referer是可以伪造的。看这道题的描述,发现应该是去DIY数据包了,这里可以使用burp抓包。
       首先介绍一下xff,全称为X-Forwarded-For,在数据包中负责提供用户客户端的IP,后端可以用一些全局数组来获取这个字段;referer字段,也为http协议中的一个字段,标示着本次请求是从那个页面来的,当然这些都是用户可以修改的~

0x01

首先打开环境,进入页面
在这里插入图片描述
提示IP地址必须为123.123.123.123,这里可以打开代理,推荐火狐插件:Proxy Switcher,一键开启代理,省心、省事、更省力~
在这里插入图片描述
开启burp,打开侦听,刷新浏览器页面,抓到http协议包并添加xff字段
在这里插入图片描述
点击forward转发或者关闭侦听放行数据包,可以看到浏览器提示,必须来自谷歌
在这里插入图片描述
继续抓包同时添加xff和referer字段,referer字段的值为https://www.google.com
在这里插入图片描述
放行包并查看页面,成功出现flag
在这里插入图片描述

0x02

       The end~

稚始稚終
关注
专栏目录
【网络安全 | CTF】攻防世界 xff_referer 解题详析
等风来
05-21 5011
(简称 XFF)是一个 HTTP 请求头部字段,它用于表示 HTTP 请求的客户端 IP 地址,尤其是当请求通过一个中介代理或负载均衡器时。该字段的值通常是一个逗号分隔的 IP 地址列表,其中第一个 IP 地址是最初连接到中介代理或负载均衡器的客户端 IP 地址。因为在这种情况下,服务器只能看到请求的中介代理或负载均衡器的 IP 地址,而无法直接获取客户端的真实 IP 地址。是另一个 HTTP 请求头部字段,它包含了当前请求的来源页面 URL 地址,即前一个页面的 URL 地址。
XCTF攻防世界练习-web题-xff_referer
果冻先生的专栏
09-30 2万+
0x08 XFF Referer 【题目描述】 X老师告诉小宁其实xffreferer是可以伪造的。 【目标】 掌握有关X-Forwarded-For和Referer的知识: (1)X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。xff 是http的拓展头部,作用是使Web服务...
xff_referer
qq_52431855的博客
12-13 1065
Xff_refer 知识点: xff:X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 refer:HTTP来源地址。 是HTTP表头的一个字段,用来表示从哪儿链接到当前的网页,采用的格式是URL。 简单的讲,referer就是告诉服务器当前访问者是从哪个url地址跳转到自己的 题目:X老师告诉小宁其实xffreferer是可以伪造的。 方法: 利用burp对网页进行抓包,然后在请求中..
【CTF | WEB】003、攻防世界WEB题目之xff_referer
最新发布
韩非雨的博客
08-14 857
XFF用于追踪客户端的真实 IP 地址,特别是在请求经过多个代理服务器时。Referer用于标识当前请求页面的来源页面,帮助服务器理解用户的访问路径。这两个头字段在网络安全和流量分析中都非常重要。
XffRefer
HELLOW,文浩
07-26 2964
Xff是一个 HTTP 扩展头部,主要是为了让 Web 服务器获取访问用户的真实 IP 地址。在代理转发及反向代理中经常使用X-Forwarded-For 字段。
xff_referer-攻防世界
szhangliwenya的博客
03-26 990
题目bp抓包发到重发器题目提示xffrefererX-Forwarded-For(XFF)和Referer都是HTTP请求头字段,它们在Web通信中扮演着重要的角色。X-Forwarded-For(XFF)用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。XFF的主要作用是告诉服务器当前请求者的最终IP。在一些情况下,攻击者可能会尝试伪造X-Forwarded-For字段来隐藏其真实IP地址,因此在使用XFF时需要谨慎验证其真实性。
XFF手工注入
GiDunPar的博客
02-06 812
题目来源:墨者学院 点进去之后,只有一个登录界面,随便试一个账号密码,抓包。 在头部加上XFF字段:发现能看到自己设置的值 然后开始注入,用的是报错注入函数extractvalue(),第一个参数时XML文档对象的名称,我设置为null,第二个参数是Xpath格式的字符串,原理是在第二个参数传sql注入语句,然后由于不是Xpath格式,就报错,然后语句被执行,得到结果。 构造payl...
攻防世界 web新手练习题解 下
weixin_46330722的博客
10-30 653
攻防世界 web新手练习题解 下simple_phpget_postxff_refererwebshellcommand_executionsimple_js simple_php 题目直接给出了源码,我们直接来分析一下,首先题目是要求我们通过get方式传递一个名为a和一个名为b的参数,并分别赋值给$a,$b。第一个判断是$a=0并且$a不能被判断为false。本地搭一个测试页面。 访问一下,并传递值为0的a参数 可见,$a被判断为了false。这里我们应该看到它使用的比较符==,看一下官方文档。
ctf web5 练习_CTF-攻防世界-WEB新手练习 Writeup(12题入门题)
weixin_33603656的博客
01-15 3571
注:作者是CTF初学者,边学习边记录,如有错误或疏漏请批评指正,也请各位大佬多多包涵。攻防世界-WEB新手练习 12题入门题 Writeup(注意:攻防世界WEB题每次生成场景后,有时flag会改变,因此flag不同不要在意,主要是学习解题思路和方法)0X01view_sourceX老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。题目提示查看源码,鼠标右键不管用,用F12...
攻防世界 web新手练习WP(超新新手!)
寻同学的博客
08-26 1000
攻防世界 web新手练习WP(超新新新手!)(持续更新中) 看了看自己的博客,发现最近几年学什么发什么博客都是半途而废????,怎么肥四哇,给自己一个差差差评。 最近工作需要,又开始了新的一波学习。开始在攻防世界上面刷一些最简单最基础的题目,在这边记录一下吧,希望这一次的学习和记录能多坚持一段时间鸭~~ 以下为正文: 1.view_source 打开题目场景链接后如下图 按F12查看源代码,如下图 可以直接看到flag为cyberpeace{bcfce52ec705e8a28365b795cbd93
攻防世界WEB新手练习通关教程
玄道的网安博客
05-14 792
首先我们不多说直接来到web新手练习 view_source 获取场景 右键用不了,我们用F12来检查元素 Robots 我们在url中加上robots.txt 会看到一个php地址,访问即可 Backup Index.php的备份文件,一般备份文件为.bak后缀,访问即可 可以进行爆破文件后缀 Cookie 检查元素中cookie存储发现值为cookie.php,访问 看到消息头中有了flag disabled_button 检查
攻防世界 WEB 新手练习 writeup 007-012
ChaoYue_miku的博客
09-02 1353
007 simple_php 难度系数:1.0 题目来源: Cyberpeace-n3k0 题目描述: 小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 0x01 打开网页 有一段PHP源代码 0x02 进行代码审计 <?php show_source(__FILE__); include("config.php"); $a=@$_GET['a']; $b=@$_GET['b']; if($a==0 and $a){ echo $flag1; } if(is_numer
XFFReferer(含实操)
热门推荐
slj1552560的博客
02-16 2万+
Part1:XFFReferer基本了解 关于xffreferer维基百科: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。简单地说,xff是告诉服务器当前请求者的最终ip的http请求头字段通常可以直接通过修改http
Web学习index.php、burp抓包爆破、XFFReferer
qq_53099802的博客
04-21 3529
XFFReferer,burp的理解应用
数据库学习笔记8--XFF注入攻击、 sql注入绕过、base64注入攻击、二次注入攻击
qq_41759633的博客
08-08 1775
XFF注入攻击 通过burp suite抓取数据包内容,可以看到HTTP请求头中有一个头部参数X-Forwarded-for.X-Forwarded-for简称XFF头,它代表客户端真是IP,通过修改X-Forwarded-for的值可以伪造客户端IP,将X-Forwarded-for设置为127.0.0.1然后访问该URL,页面返回正常。将X-Forwarded-for设置为127.0.0.1’...
攻防世界-xff_refere
HEAVEN569的博客
03-14 752
题目描述:X老师告诉小宁其实xffreferer是可以伪造的。 XFF(X-Forworded-For):是http请求头中的一个参数,是用来识别通过HTTP代理或者负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段 代表了HTTP的请求端真是的ip。 格式为:X-Forworded-For:ip 例如:X-Forworded-For: 10.10.10.10 referer:是HTTP头的一个字段,用来表示从哪儿链接到当前的页面,即表明来源URL地址。采用的格式是UR..
webxffreferer
recordliu的博客
01-28 1789
webxffreferer XFF字段 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。通俗来说,就是浏览器访问网站的IP。一般格式: X-Forwarded-For: client1, proxy1, proxy2, proxy3 左边第一个是浏览器IP,依次往右为第一个代理服务器IP,第二个,第...
day28 SQL注入&HTTP头XFF&COOKIE&POST请求
wanjia01的博客
10-15 1335
小迪安全笔记
Hackergame 2021 - XFF伪造 [FLAG助力大红包]
Ivyyyyyy1的博客
11-03 860
一、题目 高级黑pdd属于是,肯定不是让我们真正分享到朋友圈求着点,先看活动规则 只有这一条有用 二、解题 分析规则,我们初步猜测出这里会用的XFF伪造,而且每次都需要用不在同一/8网段的IP,像如下 68.38.64.1 和 67.38.64.1才满足条件,百度了一下,IP地址分为A,B,C,D,E五类,常用的是B,C两类 A:0-127 B:128-191 C:192-223 D:224-239 E:240-255 也就是说这里最多能伪造256次,即有256个好友为您...
xff_vision csdn
09-23
xff_vision是CSDN社中的一个用户账号,该用户可能是一个程序员或者对技术有浓厚兴趣的个人。CSDN是中国最大的IT技术社,用户可以在CSDN上分享和交流有关技术、编程、开发和科技的知识和经验。 通过xff_vision这个用户名,我们可以推测该用户对技术视野开阔,对技术的发展有自己的理解和见解。可能是一个有影响力的技术博主或者需要在CSDN上进行技术交流的用户。 在CSDN上,用户可以发布自己的技术博客,与其他技术人员进行交流讨论,提问和解答问题,分享经验和心得。用户可以关注其他用户,并通过关注来获取技术动态和学习资源。 xff_vision可能会发布一些关于计算机视觉、机器学习、人工智能等技术领域的文章,分享自己在这些领域的研究成果或者学习心得。该用户可能会参与一些开源项目或者组织技术研讨会,以加深自己的技术理解和交流。 总的来说,通过参与CSDN社xff_vision可以与同行进行沟通交流,扩大自己的技术影响力,同时也可以从其他人的文章和问题中获取新的学习和启发,让自己的技术视野更加开阔。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

稚始稚終

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值