突破IP限制登入网站后台

最新推荐文章于 2024-01-25 19:12:55 发布
最新推荐文章于 2024-01-25 19:12:55 发布
阅读量619 收藏 1
点赞数
文章标签: php

后台:

http://www.zhuna.cn/sys_admin/

输入账号密码

点击确定后,跳转到登录界面:
http://www.zhuna.cn/sys_admin/login.php

 
 
很自然的觉得后台部分页面没有访问控制,可以直接进行请求查看。

(同时也怀疑可能存在JS访问绕过问题,禁用JS后再进行访问,发现依然如此,故而排除JS绕过的想法。)
通过查看HTML源代码,很容易的找到菜单页面名称:
 
 
http://www.zhuna.cn/sys_admin/menu.php

 
 
 
 
查看menu.php页面的HTML源代码,逐个请求各超链接页面,不难发现其中部分页面是不需要身份验证的(不会跳转到登录页面):

 
 
 
 


 
 
 
 


以其中一个链接为例,我们发现这些不需要身份验证的页面有IP限制:
 
 
 
 

sys_admin路径下部分页面有ip限制,会不会是使用客户端发送header中的X-Forwarded-For 来检测客户端IP,从而进行判断的呢?一试便知!用http editor来发送该页面请求,同时特意增加了X-Forwarded-For,问题是它的值写什么合适呢?咱不知道它到底允许那些地址,算鸟,直接127.0.0.1本地回环地址,这个总应该是放行的,果不其然,如图:

问题又来了,http editor里不能直接点击超链接,对于其它链接还得每次单独请求,太不方便了,突然想到了因插件而强大的火狐浏览器...X-Forwarded-For Header...



如上图设置好以后,就可以用火狐进行自由浏览了,它会自动在目标站点的每个请求头中加入 X-Forwarded-For:127.0.0.1



摘自:http://www.wooyun.org/bugs/wooyun-2013-019108
 


                

        

        




    




            

                    
            

    

      

        

            

              
                
                  weixin_34259559
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
限制ip访问后台 黑客破解后台也没用

				
			

			

				

					站在技术的顶端,才能看清脚下的路该通向何方--技术工程师之路!
				

				

					01-02
					
					4258
					
				

			

		

		

			
				
限制ip访问后台 黑客破解后台也没用,good idea。
 
下面的例子只允许127.0.0.1登陆后台 或者10.110.8.8
10.110.8.8 这个是管理员自己的远程IP限制指定IP断 黑客就算得到后台密码 也无法登陆
adminIP=Request.ServerVariables("REMOTE_ADDR")
if (left(adminIP,10)="110.8

			
		

	



                

              
                



	

		

			

				
					
网站管理后台帐号密码暴力破解方法

				
			

			

				

					weixin_33699914的博客
				

				

					09-16
					
					3237
					
				

			

		

		

			
				
【导读】
对于网站运行的个人站长而言,最担心的是应如何有效且安全的去管理自己的网站,否则自己辛辛苦苦经营的网站就会被不请自来的不速之客给攻破,轻则站点数据被窃取,重则整个网站都被攻陷,导致无法恢复。
本文主要从管理后台这个方面来讲解其××××××过程,并通过在虚拟环境中展开实例演示,各读者可以跟着本教程去做实验,通过实验加强对×××过程的了解,如果你是一名菜鸟站长也可以针对性的去做一下防护方案。
...

			
		

	



                


  
              

                


	

		

			

				
					
IP被封怎么办?如何绕过IP禁令?

					
最新发布

				
			

			

				

					
				

				

					01-25
					
					2114
					
				

			

		

		

			
				
相信很多人遇到过IP禁令:比如你在访问社交媒体、搜索引擎或电子商务网站时会被限制访问,又或者你的的账号莫名被封,这些由于网络上的种种限制我们经常会遭遇IP被封的情况,导致无法使用继续进行网络行动。在本文中,我们汇总了您的访问被 IP禁止的一些最常见原因,并提出了克服和避免此类“陷阱”的措施。一起来看看吧!

			
		

	





	

		

			

				
					
后台js返回验证登陆绕过

				
			

			

				

					aiquan9342的博客
				

				

					06-07
					
					628
					
				

			

		

		

			
				
思路:

程序员通过JS的返回数据来决定是否登陆成功。返回码为0000的时候表示登陆成功,将返回数据改为其登陆成功的即可。


具体过程:

后台登陆地址http://127.0.0.1/manager/admin.php
JS文件地址:http://127.0.0.1/uiloader/js/uiloader_zh.js
首先来看一下JS的判断文件:


那...

			
		

	



		

			
		



	

		

			

				
					
IP限制绕过及gopher对redis的利用讲解

				
			

			

				

					weixin_41489908的博客
				

				

					10-03
					
					869
					
				

			

		

		

			
				
你崩溃到凌晨,她和他睡到自然醒。。。

---- 网页云热评



当对外发起请求时,会存在一个安全限制,比如去检测IP地址,去访问自己是不是127.0.0.1,相当于去访问内网段是192.168以及172网段。这种内网有非常明显的一个特征的,有不同的过滤存在,有的时候为了去绕过这些过滤,需要做出一些对应的方法以及策略去实现。



绕过





1、添加一个端口

限制情况下不允许纯IP的形式,默认情况下IP是80端口,比如访问的是99端口是可以的,一个加端口的操作,就可能去突破它的规则限制,当...

			
		

	





	

		

			

				
					
php代码限制国内IP访问我们网站

				
			

			

				

					10-23
				

			

		

		

			
				
主要介绍了用php代码限制国内IP访问我们网站,需要的朋友可以参考下

			
		

	





	

		

			

				
					
php限制ip访问次数.txt

				
			

			

				

					06-07
				

			

		

		

			
				
php限制ip访问次数.txt php限制ip访问次数.txt php限制ip访问次数.txt php限制ip访问次数.txt

			
		

	





	

		

			

				
					
利用HTML实现限制ip的投票网站作弊方案

				
			

			

				

					09-28
				

			

		

		

			
				
很多投票类的网站是不能重复投票的,主要是限制ip,一个ip只可以投票一次,下面我们一起来看看利用HTML实现限制ip的投票网站作弊方案,需要的朋友可以参考下

			
		

	





	

		

			

				
					
网站限制国外ip登录脚本

				
			

			

				

					12-15
				

			

		

		

			
				
自己写的脚本,服务没开启太多,有需要的可以自行添加。

			
		

	





	

		

			

				
					
后台IP限制系统程序 v2.0

				
			

			

				

					03-25
				

			

		

		

			
				
后台IP限制系统V2.0 脚本编写:loke 这个系统写到2.0后个人感觉再扩展下去也没什么意义了,本人也没有兴趣把这个所谓的系统搞成网站的一个安全体系,当然如果以后有机会还是会去尝试的。。。这个系统针对的是ASP程序...

			
		

	





	

		

			

				
					
三种方式实现限制IP访问

					
热门推荐

				
			

			

				

					实践出真知
				

				

					02-05
					
					3万+
					
				

			

		

		

			
				
方式一:Linux防火墙实现
#阻止所有IP访问
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j DROP
#然后再添加白名单
iptables -A INPUT -s 1.2.3.4 -p tcp --dport 80 -j ACCEPT
###############或者###########
iptables -A INPUT -s 

			
		

	





	

		

			

				
					
php限制单个ip访问和限制ip段访问

				
			

			

				

					dabao87的博客
				

				

					09-16
					
					2133
					
				

			

		

		

			
				
function getClientIP(){  
    if(getenv("HTTP_CLIENT_IP")){
        $ip = getenv("HTTP_CLIENT_IP");
    }else if(getenv("HTTP_X_FORWARDED_FOR")){
        $ip = getenv("HTTP_X_FORWARDED_FOR");
    }el...

			
		

	





	

		

			

				
					
网站限制IP访问应该怎么办

				
			

			

				

					weixin_30566063的博客
				

				

					01-03
					
					3263
					
				

			

		

		

			
				
首先,如果你想解决这个问题那么晚就要清楚这个问题发生的原因,你要清楚网站为什么被限制IP的访问

犀牛代理在这里为大家简单的讲解一下,有一部分的网站是因为要遏制数据爬取和非法的网络攻击行为,保障正常用户的访问速度和查询效果,所以被查询的网站的系统增加了网络安全设备,强化了安全防护极致,在建设的时候预先设置了安全访问规则。

  经过分析了解,用户没有办法正常访问网...

			
		

	





	

		

			

				
					
后台ip进行白名单,防止黑客入侵后台

				
			

			

				

					weixin_44133711的博客
				

				

					05-04
					
					1064
					
				

			

		

		

			
				
$ip=request()->ip();
        $ips = Config::where('key','ips')->value('value');//允许进入后台ip
        $ips = explode('-',$ips);
        if(!in_array($ip,$ips)){
            $this->error('登陆失败!'...

			
		

	





	

		

			

				
					
php采集如何越过对方的IP限制

				
			

			

				

					lgy5451263的专栏
				

				

					03-03
					
					863
					
				

			

		

		

			
				
其实常用的有三种:伪造来、伪造ip、再者就是用代理。这三种方法curl都可以办到





php

//第一、伪造来HTTP_REFERER

$ch = curl_init(); //初始化

curl_setopt($ch, CURLOPT_URL, http://www.example.com/); //你要访问的页面

curl_setopt($ch, CURLOPT_REFERER

			
		

	





	

		

			

				
					
IP限制访问配置方法

				
			

			

				

					Terisadeng的博客
				

				

					09-18
					
					4580
					
				

			

		

		

			
				
Nginx可以使用ngx_http_access_module(Nginx内置模块)模块限制IP访问,可以在http、server、location、limit_except配置段中进行配置。
配置配置实例:
http{
	include mime.types;
	default_type application/octet-stream;
	allow 192.168.0.0/24; //配

			
		

	





	

		

			

				
					
服务器iis限制ip访问网站吗,利用IIS实现网站后台IP登录限制

				
			

			

				

					weixin_32758097的博客
				

				

					08-09
					
					8035
					
				

			

		

		

			
				
一、依次单击“开始”→“所有程序”→“管理工具”→“Internet信息服务(IIS)管理器”,打开“Internet信息服务(IIS)管理器”窗口。然后在左窗格中依次展开ServerName→网站,并右键单击Web站点的名称,执行“属性”快捷命令。打开站点属性对话框,然后单击“目录安全性”标签,切换至“目录安全性”选项卡。二、单击“IP地址和域名限制”区域中的“编辑”按钮,打开“IP地址和域名限...

			
		

	





	

		

			

				
					
如何解除网站ip地址限制

				
			

			

				

					一个懒鬼的博客
				

				

					10-26
					
					2万+
					
				

			

		

		

			
				
1、看看是否使用第三方插件造成的ip限制。

如果使用,请先关闭并清晰缓存,试着在1-3小时后重新访问。

2、更改IP地址,启用本地hosts文件分析域名。

打开Windows安装面板(如C面板),进入目录WINDOWSYSTEM32DRIVERSETC,找到hosts文件(无扩展名),用笔记本或写字板打开,然后添加被封锁的网站域名和相应的IP,每行格式:220.97.xx.xx www.xxx.com;保存文件,再次上网时启用本地hosts文件解析域名,从而访问被封锁的网站。

3、重新启动路由器..

			
		

	





	

		

			

				
					
PHP 登入时获取访客ip

				
			

			

				

					05-28
				

			

		

		

			
				
PHP 登录时获取访客 IP,可以使用以下代码:

```php
$ip = '';
if (!empty($_SERVER['HTTP_CLIENT_IP'])) {
    $ip = $_SERVER['HTTP_CLIENT_IP'];
} elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
} else {
    $ip = $_SERVER['REMOTE_ADDR'];
}

// 在登录时将 $ip 存入数据库或日志中
```

这段代码中,首先尝试获取客户端 IP,如果获取不到则尝试获取代理服务器 IP,最后使用 `$_SERVER['REMOTE_ADDR']` 获取 IP。

注意:获取到的 IP 可能是代理服务器的 IP,而不是客户端的真实 IP,因此在进行安全验证时需要谨慎处理。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值