攻防世界WEB新手入门10 xff_referer

最新推荐文章于 2023-01-11 16:25:36 发布
最新推荐文章于 2023-01-11 16:25:36 发布
阅读量417 收藏 1
点赞数
分类专栏: 攻防世界 文章标签: web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39787312/article/details/107793211
版权

攻防世界WEB新手入门10 xff_referer

题目信息

WriteUp

打开链接后看到如下信息

结合题目可知需要伪造XFF
打开burpsuite进行抓包

在包头添加XFF信息

X-Forwarded-For: 123.123.123.123

发送以后发现没有响应
咨询大佬以后得到回复:http报文结束时需要两行空白行

至于burpsuite抓包时只有一行空白且能正常响应的原因暂时未知。
在响应包后多加一行空白即可正常响应。

响应页面如下:

再添加Referer

Referer: https://www.google.com


发送即可得到flag

EIiAyase
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【渗透测试】---如何用burpsuite伪造IP
qq_43168364的博客
09-18 1万+
一、伪造方法 使用fakeIP.py插件来伪造IP。 fakeip.py是一个用python写的用来伪造IP的插件。 安装过程如下 二、安装jython-standalone-2.7.0 jython-standalone-2.7.0是一个将Python代码转换成Java代码的编译器。 能够将自己用Python代码写的类库,用在Java程序里。 安装的网址:http://search.maven.org/remotecontent?filepath=org/python/jython-standalo
XCTF攻防世界练习区-web题-xff_referer
果冻先生的专栏
09-30 2万+
0x08 XFF Referer 【题目描述】 X老师告诉小宁其实xffreferer是可以伪造的。 【目标】 掌握有关X-Forwarded-For和Referer的知识: (1)X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。xff 是http的拓展头部,作用是使Web服务...
XCTF篇(新手练习)Webxff_referer
qq_43230425的博客
09-20 605
XCTF篇(新手练习)Webxff_referer 题目: 打开场景后为: 根据题目提示,简单了解一下xffreferer: HTTP来源地址(referer,或HTTP referer) 是HTTP表头的一个字段,用来表示从哪儿链接到当前的网页,采用的格式是URL。换句话说,借着HTTP来源地址,当前的网页可以检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。 X-Forwarded-For(XFF) 是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的H
BUUCTF [CISCN2019 华东南赛区] Web11
Senimo
12-23 657
BUUCTF [CISCN2019 华东南赛区] Web11 考点: 根据页面提示,应该是一个类似IP查询的网站,根据**XXF(X-Forwarded-For)**判断
「干货」XCTF Web安全入门练习靶场全部通关教程
橙留香Park的博客
04-13 6894
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
X-Forwarded-For注入实战
qq_38807738的博客
06-06 6681
X-Forwarded-For注入漏洞实战1、使用BurpSuite抓包POST /index.php HTTP/1.1Host: 219.153.49.228:47065User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0Accept: text/html,application...
ignore_0xff.rar_scale
09-14
标题"ignore_0xff.rar_scale"暗示了我们正在处理一个与忽略特定字节(在这种情况下是0xff)相关的压缩文件,可能涉及到某种特定的编码或解码算法优化。描述中的"sf_estim.h"表明文件包含了关于“scale factor ...
dhj.rar_24C16 0x10_24C16按页写入_256B依次写入
09-20
《深入理解24C16 I2C存储器:0x10页写入与256B依次写入实践》 24C16是一款常见的I2C接口的电可擦除可编程只读存储器(EEPROM),在嵌入式系统、物联网设备以及各种需要非易失性数据存储的场合广泛应用。本篇文章将...
与上0xFF的意义.zip
06-05
当我们看到表达式"0xFF"时,它实际上是一个十六进制数,其二进制形式为11111111。结合"&"运算符,我们探讨的是C语言中的位操作部分,特别是按位与运算。 位操作在计算机科学中起着核心作用,因为计算机内部是以二...
源代码-C#与halcon开发的流程式机器视觉软件系统
11-06
《C#与Halcon开发的流程式机器视觉软件系统详解》 在当今的智能制造领域,机器视觉技术扮演着至关重要的角色。本项目“源代码-C#与halcon开发的流程式机器视觉软件系统”旨在为学习者提供一个实践平台,通过C#编程...
将bin填充0xFF到指定大小(含源码)
01-15
这里的“将bin填充0xFF到指定大小”是一个常见的需求,主要目的是确保固件文件的大小满足硬件设备的特定要求。在这个场景中,由于升级的Flash内存必须是16MB,但下载的文件可能小于这个容量,因此需要通过编程手段来...
CTF之路:关于X-Forwarded-For注入
zw05011的博客
01-05 3053
题目 输入任意用户名密码登录,显示IP禁止访问。 知识点 伪造XFF头绕过服务器IP过滤 IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造 XFF字段 X-Forwarded-For(XFF)简称XFF头,是HTTP 报文头部的关键字段之一。代表了HTTP的请求端真实的IP。它被认为是客户端通过HTTP代理或者负载均衡器连接到web服务端获取源ip地址的一个标准(通常一些网站的防注入..
“burpsuit中repeater功能如何使用”及“如何修改X-Forwarded-For和Referer”
Xionghuimin的博客
11-23 4844
一、以下题为例 “ XCTF攻防世界web新手练习—xff_referer ” X老师告诉小宁其实xffreferer是可以伪造的。 X-Forwarded-For和Referer的定义以及该题的文字描述解题过程见下方这两个写的比较好的博客 https://blog.csdn.net/silence1_/article/details/89646461 https://blog.csdn.ne...
攻防世界-xff_referer
m0_49025459的博客
12-30 257
抓包看看,打开场景,页面提示我们ip必须是123.123.123.123,我们就想到burpsuite抓包,添加上X-Forwarded-For:123.123.123.123。我们看到页面提示必须来自https://www.google.com,那我们添加Referer:https://www.google.com。
XFFReferer(含实操)
热门推荐
slj1552560的博客
02-16 2万+
Part1:XFFReferer基本了解 关于xffreferer维基百科: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。简单地说,xff是告诉服务器当前请求者的最终ip的http请求头字段通常可以直接通过修改http
攻防世界xff_referer解析
chlet的博客
10-30 425
攻防世界xff_referer解析 获取场景后发现,要求IP为123.123.123.123; 可以使用火狐浏览器的X-Forwarded-For插件; 这里使用Burpsuit; 抓到请求信息; 在host后添加X-Forwarded-For:123.123.123.123; 在重发器中发送; 发现有了另一个限制; 要求来自谷歌; 在X-Forwarded-For:123.123.123.123后面加上Referer:https://www.google.com; 得到flag; cyberpeac
一次Burp Suite修改内容的练习
xhscxj的博客
09-30 922
本文对应测试链接源自 墨者学院:投票常见漏洞分析溯源 首先进入后如下 图中所述投票给a2019争取第一名,现在a2019的票数是88票我们的目的则是让它的票数反超第一。 首先打开Burp Suite 在Burp Suite和浏览器中设置代理 设置完代理之后用Burp Suite中的Proxy模块开始截断流量 下图中已经截取到了我们发送的流量 将流量发送到Repeater模块中进行测试 我们将测试...
burpsuite插件——BurpFakeIP
Kris__zhang的博客
04-23 1970
github地址:https://github.com/ianxtianxt/burpsuiefakeip 安装fakeip.py 在burpsuite里选择fakeip.py直接next 在安装过程中安装失败的原因(插件目录不能有中文目录) 使用方法 1、伪造指定IP 抓取百度的包 输入指定的ip 程序会自动添加所有可伪造的字段到请求头中。 2.伪造本地的包 3.伪造随机ip 4.伪造随机IP进行爆破(这个功能是该插件的核心功能) 使用DVWA的暴力破解模块做演示,抓包添加随机IP,把等级
网络安全渗透神器——Burp Suite使用教程
sechelper的博客
01-11 2341
网络安全渗透神器——Burp Suite使用教程,注册,CA证书安装
xff_vision csdn
最新发布
09-23
xff_vision是CSDN社区中的一个用户账号,该用户可能是一个程序员或者对技术有浓厚兴趣的个人。CSDN是中国最大的IT技术社区,用户可以在CSDN上分享和交流有关技术、编程、开发和科技的知识和经验。 通过xff_vision这个用户名,我们可以推测该用户对技术视野开阔,对技术的发展有自己的理解和见解。可能是一个有影响力的技术博主或者需要在CSDN上进行技术交流的用户。 在CSDN上,用户可以发布自己的技术博客,与其他技术人员进行交流讨论,提问和解答问题,分享经验和心得。用户可以关注其他用户,并通过关注来获取技术动态和学习资源。 xff_vision可能会发布一些关于计算机视觉、机器学习、人工智能等技术领域的文章,分享自己在这些领域的研究成果或者学习心得。该用户可能会参与一些开源项目或者组织技术研讨会,以加深自己的技术理解和交流。 总的来说,通过参与CSDN社区,xff_vision可以与同行进行沟通交流,扩大自己的技术影响力,同时也可以从其他人的文章和问题中获取新的学习和启发,让自己的技术视野更加开阔。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值