XCTF篇(新手练习)Web之xff_referer

最新推荐文章于 2024-08-14 21:03:30 发布
最新推荐文章于 2024-08-14 21:03:30 发布
阅读量630 收藏
点赞数
分类专栏: XCTF 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43230425/article/details/108693731
版权

XCTF篇(新手练习)Web之xff_referer

题目:
在这里插入图片描述

打开场景后为:
在这里插入图片描述

根据题目提示,简单了解一下xff和referer:

HTTP来源地址(referer,或HTTP referer)

是HTTP表头的一个字段,用来表示从哪儿链接到当前的网页,采用的格式是URL。换句话说,借着HTTP来源地址,当前的网页可以检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。

X-Forwarded-For(XFF)

是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 Squid
缓存代理服务器的开发人员最早引入了这一HTTP头字段,并由IETF在HTTP头字段标准化草案中正式提出。

当今多数缓存服务器的用户为大型ISP,为了通过缓存的方式来降低他们的外部带宽,他们常常通过鼓励或强制用户使用代理服务器来接入互联网。有些情况下,这些代理服务器是透明代理,用户甚至不知道自己正在使用代理上网。
如果没有XFF或者另外一种相似的技术,所有通过代理服务器的连接只会显示代理服务器的IP地址,而非连接发起的原始IP地址,这样的代理服务器实际上充当了匿名服务提供者的角色,如果连接的原始IP地址不可得,恶意访问的检测与预防的难度将大大增加。XFF的有效性依赖于代理服务器提供的连接原始IP地址的真实性,因此,XFF的有效使用应该保证代理服务器是可信的,比如可以通过创建可信服务器白名单的方式。

简单了解后,使用Burpsuit解决这道题目:
1.用Burpsuit监听到火狐浏览器的题目场景页面后,在在BurpSuite 的Raw下添加X-Forwarded-For(XFF)字段

X-Forwarded-For:123.123.123.123

在这里插入图片描述

2.点击Forward放包之后,浏览器页面发生变化:
在这里插入图片描述
在这里插入图片描述

3.根据提示,我们再次刷新浏览器页面,在BurpSuite 的Raw下添加X-Forwarded-For和Referer 字段用于伪造HTTP请求头中X-Forwarded-For和Referer

X-Forwarded-For:123.123.123.123
Referer:https://www.google.com

在这里插入图片描述

4.点击Forward放包之后,浏览器页面即出现结果
在这里插入图片描述
推荐个博文,写的十分详细
https://blog.csdn.net/God_XiangYu/article/details/100644086

JIEGOUSHUJU
关注
专栏目录
XCTF攻防世界练习区-web题-xff_referer
果冻先生的专栏
09-30 2万+
0x08 XFF Referer 【题目描述】 X老师告诉小宁其实xffreferer是可以伪造的。 【目标】 掌握有关X-Forwarded-For和Referer的知识: (1)X-Forwarded-For:简称XFF,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器才会添加该项。xff 是http的拓展部,作用是使Web服务...
XCTFWeb (新手练习区)
小明师傅博客
06-09 539
1.view_source F12调出,后复制 2.robots 这里打开robots.txt 可以查看不让爬虫爬的目录 3.backup 备份文件,后缀加 .bak 下载下来 4.cookie f12,查看加载的cookie,发现在文件里 访问查看 5.disabled_button f12把disabled删了 6.weak_auth bp爆破 7.simple_php 解释 === 会同比较字符串的值和类型 == 会先将字符串换成相同类型,再作比较,属于弱类.
10、XCTF xff_referer
山兔的博客
09-16 576
X老师告诉小宁其实xffreferer是可以伪造的。 拦截数据包,修改数据包。 X-Forwarded-For: 123.123.123.123 这个必须加在http的请求头。 得到: 必须来自https://www.google.com 再在请求头加上Referer: https://www.google.com 得到flag, 基础知识: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 简单地说,xff
【CTF | WEB】003、攻防世界WEB题目之xff_referer
最新发布
韩非雨的博客
08-14 863
XFF用于追踪客户端的真实 IP 地址,特别是在请求经过多个代理服务器Referer用于标识当前请求页面的来源页面,帮助服务器理解用户的访问路径。这两个字段在网络安全和流量分析中都非常重要。
XCTF WEB xff_referer
无限迭代中......
06-30 1646
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5068 题解: 工具:Burp Suite 抓包 伪造IP地址 伪造响应
XCTF_Web_新手练习区:xff_referer
1stPeak's Blog
06-13 2794
第八题:xff_referer 目标: 掌握有关X-Forwarded-For和Referer的知识 X-Forwarded-For:简称XFF,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器才会添加该项 HTTP Referer是header的一部分,当浏览器web服务器发送请求候,一般会带上Referer,告诉服务器我是从哪个页...
xff_referer
weixin_63289925的博客
01-08 407
xff-referer
xctf-web 新手练习
尊暮萧的博客
05-31 316
view_source 这道题没什么说的,禁用右键了,F12开发者工具就可以直接调出来,直接出结果了。 robots 题目描述很明显,robots,那就在地址栏后面加上robots.txt 访问这个页面 f1ag_1s_h3re.php 就可以了 backup 通常后缀加上bak就是备份文件,试试? 下载了,打开之后出flag cookie 那我们就查看cookies,发现look-here,value指向一个页面,二话不说访问页面 让我们看请求头,果然有flag disabled_bu
XCTF 攻防世界 web 新手练习
XQin9T1an的博客
07-24 7505
XCTFweb新手练习题目链接:https://adworld.xctf.org.cn/task/task_list?type=web&number=3&grade=0 0x01 view_source 题目链接:http://111.198.29.45:51846/ 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 根据题目提示和标题,我们可以...
adworld.xctf-web-新手练习区刷题
BROTHERYY的博客
05-07 1042
1.View Source 根据题目,就能猜到,此处是查看页面源码,在查看的过程中发现右键不能使用了,那就用F12吧~ 2.Robots 这题是考察Robots协议,访问候页面是一片空白,直接输入robots.txt 在地址栏输入robots.txt会得到f1ag_1s_h3re.php,尝试直接访问这个php文件。 3.Backup 对常用的备份文件名进行测试*.php~ or ...
XCTF攻防世界-web
yu_jing_hong的博客
09-22 330
1.查看源码 可以用快捷键ctrl+U 得到flag 2.robots robot就是机器人的意思,robots.txt就是关于机器人的一个协议文档,这个机器人指搜索引擎的蜘蛛,在《互联网搜索引擎服务自律公约》第七条有“遵循国际通行的行业惯例与商业规则,遵守机器人协议(robots协议)。这个文档是搜索引擎中访问网站的候要查看的第一个文件,文件中会明确告诉搜索引擎允不允许访问这个网站。 访问robots.txt文档 robots.txt的两条规则 ①User-age..
攻防世界-web xff_Referer
m0_53533553的博客
09-11 2177
xff_Referer 扩展 xff Romote Address xff简称X-Forwarded-For X-Forwarded-For 是一个 HTTP 扩展部,是用来识别通过HTTP代理,或,负载均衡方式,连接到Web服务器的客户端最原始的IP地址,的HTTP请求头字段。 主要是为了让 Web 服务器获取访问用户的真实 IP 地址。 那为什么 Web 服务器只有通过 X-Forwarded-For 才能获取真实的 IP? Remote Address代表的是当前HTTP请求的远程地址,即HTTP
XCTF Web 新手区009:xff_referer
立志成为最会敲代码的dancer,最会locking的程序猿
04-01 178
题目: WP: 考察代理修改请求头的字段 于是用brup抓包,在http加X-Forwarded-For: 123.123.123.123 在响应中看到必须来自谷歌 于是再次增加一条Referer: https://www.google.com 再次放包,在响应中得到flag! ...
攻防世界 web——xff_referer
XYZCG的博客
09-03 597
(1)X-Forwarded-For:简称XFF,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器才会添加该项。由于很多用户通过代理服务器进行访问,服务器只能获取代理服务器的IP地址,而xff的作用在于记录用户的真实IP,以及代理服务器的IP。(2)HTTP Referer是header的一部分,当浏览器web服务器发送请求候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得一些信息用于处理。
攻防世界(WEB) xff_referer
qq_54929891的博客
08-26 2054
首先做之前,先去了解一下xffreferer是什么东西 xff:X-Forwarded-For(header里面的一部分) 就是浏览器访问一个网站的ip地址 详细可以看另一位博主https://blog.csdn.net/weixin_43605586/article/details/100607877?utm_term=xff%E6%98%AF%E4%BB%80%E4%B9%88%E4%B9%88&utm_medium=distribute.pc_aggpage_search_result.
pure_color xctf
07-16
XCCTF 是全球知名的网络安全竞赛组织之一,而 pure_color 是该竞赛组织内的一项赛事。该赛事旨在提升参赛者的网络安全技能和知识,让他们在一个仿真的网络环境中进行攻防对抗。 在 pure_color xctf 中,参赛队伍将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值