攻防世界Web新手题 xff_referer

最新推荐文章于 2024-08-14 21:03:30 发布
最新推荐文章于 2024-08-14 21:03:30 发布
阅读量505 收藏 6
点赞数 11
文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52481261/article/details/139559125
版权

题目

X老师告诉小宁其实xff和referer是可以伪造的。

工具

Burpsuite

安装教程:BurpSuite v2.1(含中文版)的保姆级安装与使用_burpsuite中文版-CSDN博客

火狐浏览器

官网:Firefox 火狐浏览器 - 全新、安全、快速 | 官方最新下载

做题须知

XFF:X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。X-Forwarded-For 请求头格式非常简单,就这样:

 X-Forwarded-For :client, proxy1, proxy2

其中 client是用户真实 IP,之后则是每一级代理设备的 IP。

Referer:是 HTTP请求header的一部分,表示一个来源。当浏览器发送请求的时候,header里有包含Referer。比如在www.goole.com里有一个127.0.0.1的链接,那么点击这个127.0.0.1 ,它的header信息里就有:

Referer = http://www.google.com

分析

根据界面给出ip地址必须为123.123.123.123,以及题目的暗示XFF是可以伪造的,我们可以猜测是需要研究该网站header并需要伪造一个XFF且client为123.123.123.123,以及后续可能会对Referer进行增加或修改。

解题过程

抓包并送往repeater

增加XFF

X-Forwarded-For:123.123.123.123

可以看到增加XFF后,点击Go,response显示页面必须来自https://www.google.com,这就是我们提到的Referer,表明网站来自哪里,那就只需要增加一个Referer即可。

增加Referer

Referer:https://www.google.com

增加后发现response中存在Flag

Lzi.
关注
XCTF攻防世界练习区-web-xff_referer
果冻先生的专栏
09-30 2万+
0x08 XFF Referer 【目描述】 X老师告诉小宁其实xffreferer是可以伪造的。 【目标】 掌握有关X-Forwarded-For和Referer的知识: (1)X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。xff 是http的拓展头部,作用是使Web服务...
攻防世界web新手答案_攻防世界web 新手区 wp
weixin_39518840的博客
11-21 2917
view_source目描述右击不管用,打开目看到以下界面右击不管用,可以按F12 -> source 查看源代码,拿到flagrobots目描述就是和robots协议有关的,直接在url中 输入robots.txt 查看 robots协议,并拿到flagrobots协议robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统自带的Note...
攻防世界(WEB) xff_referer
qq_54929891的博客
08-26 2050
首先做之前,先去了解一下xffreferer是什么东西 xff:X-Forwarded-For(header里面的一部分) 就是浏览器访问一个网站的ip地址 详细可以看另一位博主https://blog.csdn.net/weixin_43605586/article/details/100607877?utm_term=xff%E6%98%AF%E4%BB%80%E4%B9%88%E4%B9%88&utm_medium=distribute.pc_aggpage_search_result.
攻防世界-web xff_Referer
m0_53533553的博客
09-11 2160
xff_Referer 扩展 xff Romote Address xff简称X-Forwarded-For X-Forwarded-For 是一个 HTTP 扩展头部,是用来识别通过HTTP代理,或,负载均衡方式,连接到Web服务器的客户端最原始的IP地址,的HTTP请求头字段。 主要是为了让 Web 服务器获取访问用户的真实 IP 地址。 那为什么 Web 服务器只有通过 X-Forwarded-For 头才能获取真实的 IP? Remote Address代表的是当前HTTP请求的远程地址,即HTTP
【CTF | WEB】003、攻防世界WEB目之xff_referer
最新发布
韩非雨的博客
08-14 845
XFF用于追踪客户端的真实 IP 地址,特别是在请求经过多个代理服务器时。Referer用于标识当前请求页面的来源页面,帮助服务器理解用户的访问路径。这两个头字段在网络安全和流量分析中都非常重要。
攻防世界-xff_referer
m0_49025459的博客
12-30 273
抓包看看,打开场景,页面提示我们ip必须是123.123.123.123,我们就想到burpsuite抓包,添加上X-Forwarded-For:123.123.123.123。我们看到页面提示必须来自https://www.google.com,那我们添加Referer:https://www.google.com。
XFFReferer(含实操)
热门推荐
slj1552560的博客
02-16 2万+
Part1:XFFReferer基本了解 关于xffreferer维基百科: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。简单地说,xff是告诉服务器当前请求者的最终ip的http请求头字段通常可以直接通过修改http
攻防世界-web-xff_referer
wuh2333的博客
04-16 875
攻防世界xff, referer
攻防世界 web新手练习区解 下
weixin_46330722的博客
10-30 653
攻防世界 web新手练习区解 下simple_phpget_postxff_refererwebshellcommand_executionsimple_js simple_php 目直接给出了源码,我们直接来分析一下,首先目是要求我们通过get方式传递一个名为a和一个名为b的参数,并分别赋值给$a,$b。第一个判断是$a=0并且$a不能被判断为false。本地搭一个测试页面。 访问一下,并传递值为0的a参数 可见,$a被判断为了false。这里我们应该看到它使用的比较符==,看一下官方文档。
攻防世界 WEB
BvxiE的博客
02-11 1188
攻防世界 新手WEBview sourcerobots​​​​backup功能快捷键合理的创建标,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 view source 查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了,那就F12吧!​ 或
CTF--攻防世界Web新手训练7-12
qq_40730029的博客
04-28 2029
7.simple_php 8.get_post 9.xff_referer 11.command_execution 12.simple_js 7.simple_php 目:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 进入场景之后看到php代码,我们只需通过get方式将满足条件的a,b值输入在地址栏即可拿到flag flag如下: Cyberpeace{647E37...
ctf web5 练习_CTF-攻防世界-WEB新手练习区 Writeup(12入门
weixin_33603656的博客
01-15 3568
注:作者是CTF初学者,边学习边记录,如有错误或疏漏请批评指正,也请各位大佬多多包涵。攻防世界-WEB新手练习区 12入门 Writeup(注意:攻防世界WEB每次生成场景后,有时flag会改变,因此flag不同不要在意,主要是学习解思路和方法)0X01view_sourceX老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。目提示查看源码,鼠标右键不管用,用F12...
攻防世界 web——xff_referer
XYZCG的博客
09-03 595
(1)X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。由于很多用户通过代理服务器进行访问,服务器只能获取代理服务器的IP地址,而xff的作用在于记录用户的真实IP,以及代理服务器的IP。(2)HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得一些信息用于处理。
xff_referer-攻防世界
szhangliwenya的博客
03-26 986
目bp抓包发到重发器目提示xffrefererX-Forwarded-For(XFF)和Referer都是HTTP请求头字段,它们在Web通信中扮演着重要的角色。X-Forwarded-For(XFF)用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。XFF的主要作用是告诉服务器当前请求者的最终IP。在一些情况下,攻击者可能会尝试伪造X-Forwarded-For字段来隐藏其真实IP地址,因此在使用XFF时需要谨慎验证其真实性。
攻防世界-xff-referer
weixin_39579781的博客
05-06 272
显示ip必须为123.123.123.123,则进行伪造。
攻防世界-Web-新手-xff_referer
weixin_31610083的博客
09-21 2711
目描述】 X老师告诉小宁其实xffreferer是可以伪造的。 【附件】 在线场景 【过程及思路】 打开在线场景后,出现如下提示: 服务器那边要求我们的原始ip是123.123.123.123,我们明显不是这么一个ip,怎么办呢? 目告诉我们xffreferer可以伪造,那么什么是xffreferer呢? 维基百科给出的解释: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的H...
攻防世界web新手关之xff_referer
weixin_45746283的博客
11-16 1786
攻防世界web新手关之xff_referer
攻防世界xff_referer(web简单)
my_name_is_sy的博客
05-28 421
目:老师告诉小宁其实xffreferer是可以伪造的 抓包,(我用的burp),然后按照提示依次插入xffreferer词条,如下: 相关知识: xff: X-Forwarded-For X-Forwarded-For (XFF) 在客户端访问服务器的过程中如果需要经过HTTP代理或者负载均衡服务器,可以被用来获取最初发起请求的客户端的IP地址,这个消息首部成为事实上的标准。在消息流从客户端流向服务器的过程中被拦截的情况下,服务器端的访问日志只能记录代理服务器或者负载均衡服务器的IP地址。如.
攻防世界XCTF Writeup 之xff_referer
qq_26012889的博客
10-27 2570
文章极安中国首发 原文地址 https://bbs.secgeeker.net/thread-1401-1-1.html 攻防世界XCTF之xff_referer 目来源 Cyberpeace-n3k0 打开后浏览目 要求ip地址必须为123.123.123.123 回看目为xff_referer 大致便有了思路 本是考察的HTTP头的伪装修改 HTTP HEAD 复习资料 可参...
xff_vision csdn
09-23
xff_vision是CSDN社区中的一个用户账号,...总的来说,通过参与CSDN社区,xff_vision可以与同行进行沟通交流,扩大自己的技术影响力,同时也可以从其他人的文章和问中获取新的学习和启发,让自己的技术视野更加开阔。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值