突破IP限制登入网站后台

最新推荐文章于 2024-01-25 19:12:55 发布
最新推荐文章于 2024-01-25 19:12:55 发布
阅读量619 收藏 1
点赞数
文章标签: php

后台:

http://www.zhuna.cn/sys_admin/

输入账号密码

点击确定后,跳转到登录界面:
http://www.zhuna.cn/sys_admin/login.php

 
 
很自然的觉得后台部分页面没有访问控制,可以直接进行请求查看。

(同时也怀疑可能存在JS访问绕过问题,禁用JS后再进行访问,发现依然如此,故而排除JS绕过的想法。)
通过查看HTML源代码,很容易的找到菜单页面名称:
 
 
http://www.zhuna.cn/sys_admin/menu.php

 
 
 
 
查看menu.php页面的HTML源代码,逐个请求各超链接页面,不难发现其中部分页面是不需要身份验证的(不会跳转到登录页面):

 
 
 
 


 
 
 
 


以其中一个链接为例,我们发现这些不需要身份验证的页面有IP限制:
 
 
 
 

sys_admin路径下部分页面有ip限制,会不会是使用客户端发送header中的X-Forwarded-For 来检测客户端IP,从而进行判断的呢?一试便知!用http editor来发送该页面请求,同时特意增加了X-Forwarded-For,问题是它的值写什么合适呢?咱不知道它到底允许那些地址,算鸟,直接127.0.0.1本地回环地址,这个总应该是放行的,果不其然,如图:

问题又来了,http editor里不能直接点击超链接,对于其它链接还得每次单独请求,太不方便了,突然想到了因插件而强大的火狐浏览器...X-Forwarded-For Header...



如上图设置好以后,就可以用火狐进行自由浏览了,它会自动在目标站点的每个请求头中加入 X-Forwarded-For:127.0.0.1



摘自:http://www.wooyun.org/bugs/wooyun-2013-019108
 


                

        

        




    




            

                    
            

    

      

        

            

              
                
                  weixin_34259559
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
php代码限制国内IP访问我们网站

				
			

			

				

					10-23
				

			

		

		

			
				
主要介绍了用php代码限制国内IP访问我们网站,需要的朋友可以参考下

			
		

	



                

              
                



	

		

			

				
					
php限制ip访问次数.txt

				
			

			

				

					06-07
				

			

		

		

			
				
php限制ip访问次数.txt php限制ip访问次数.txt php限制ip访问次数.txt php限制ip访问次数.txt

			
		

	



                


  
              

                


	

		

			

				
					
WAF攻防—绕过IP封锁(代理池)

				
			

			

				

					剁椒鱼头没剁椒的博客
				

				

					03-09
					
					2647
					
				

			

		

		

			
				
这篇文章主要是将介绍在进行信息收集或者漏洞扫描等情况下,被WAF拦截了怎么办?被封锁IP了怎么办?可能更多的是被封锁IP,至于被WAF拦截,拦截的更多情况下是payload或者POC被拦截了。Web Application Firewall(web 应用防火墙),一种公认的说法是“web 应用防火墙”通过执行一系列针对 HTTP/HTTPS 的安全策略来专门为 web 应用提供保护的一款产品。

			
		

	





	

		

			

				
					
信息安全技术实验:利用 burp suite破解 web 后台

				
			

			

				

					qq_43605229的博客
				

				

					09-11
					
					2083
					
				

			

		

		

			
				
破解后可以看到,密码为“letmein”的Location为index.php成功登录,而其他密码仍为login.php,因此密码为letmein。设置ip地址后打开拦截,在浏览器中输入账号pablo,密码LinChuanTao,可以看到账号与密码信息已经被拦截。进入以下网站,进入登录界面,这是输入账号pablo,密码LinChuanTao,无法登录。关闭软件拦截输入账号pablo,密码letmein,成功破解,登录成功。首先,打开虚拟机,登录,看到本机ip地址为192.168.75.130。

			
		

	



		

			
		



	

		

			

				
					
网站管理后台帐号密码暴力破解方法

				
			

			

				

					weixin_33699914的博客
				

				

					09-16
					
					3237
					
				

			

		

		

			
				
【导读】
对于网站运行的个人站长而言,最担心的是应如何有效且安全的去管理自己的网站,否则自己辛辛苦苦经营的网站就会被不请自来的不速之客给攻破,轻则站点数据被窃取,重则整个网站都被攻陷,导致无法恢复。
本文主要从管理后台这个方面来讲解其××××××过程,并通过在虚拟环境中展开实例演示,各读者可以跟着本教程去做实验,通过实验加强对×××过程的了解,如果你是一名菜鸟站长也可以针对性的去做一下防护方案。
...

			
		

	





	

		

			

				
					
IP被封怎么办?如何绕过IP禁令?

					
最新发布

				
			

			

				

					
				

				

					01-25
					
					2114
					
				

			

		

		

			
				
相信很多人遇到过IP禁令:比如你在访问社交媒体、搜索引擎或电子商务网站时会被限制访问,又或者你的的账号莫名被封,这些由于网络上的种种限制我们经常会遭遇IP被封的情况,导致无法使用继续进行网络行动。在本文中,我们汇总了您的访问被 IP禁止的一些最常见原因,并提出了克服和避免此类“陷阱”的措施。一起来看看吧!

			
		

	





	

		

			

				
					
利用HTML实现限制ip的投票网站作弊方案

				
			

			

				

					09-28
				

			

		

		

			
				
很多投票类的网站是不能重复投票的,主要是限制ip,一个ip只可以投票一次,下面我们一起来看看利用HTML实现限制ip的投票网站作弊方案,需要的朋友可以参考下

			
		

	





	

		

			

				
					
网站限制国外ip登录脚本

				
			

			

				

					12-15
				

			

		

		

			
				
自己写的脚本,服务没开启太多,有需要的可以自行添加。

			
		

	





	

		

			

				
					
后台IP限制系统程序 v2.0

				
			

			

				

					03-25
				

			

		

		

			
				
后台IP限制系统V2.0 脚本编写:loke 这个系统写到2.0后个人感觉再扩展下去也没什么意义了,本人也没有兴趣把这个所谓的系统搞成网站的一个安全体系,当然如果以后有机会还是会去尝试的。。。这个系统针对的是ASP程序...

			
		

	





	

		

			

				
					
什么是IP阻止,能阻止什么,我们又应如何绕过IP地址的阻止

				
			

			

				

					a_fit的博客
				

				

					04-06
					
					1万+
					
				

			

		

		

			
				
相信很多人都遇到过这样一个问题,当我们想要访问某个网站时,却出现被网站限制访问的情况。其实最主要的原因是我们的IP地址在请求访问时被阻止了,那么为何我们的IP会被阻止呢,其中的原理又是什么,我们应该如何绕开IP地址的阻止呢?在本文中我们来一一介绍。

			
		

	





	

		

			

				
					
后台js返回验证登陆绕过

				
			

			

				

					aiquan9342的博客
				

				

					06-07
					
					627
					
				

			

		

		

			
				
思路:

程序员通过JS的返回数据来决定是否登陆成功。返回码为0000的时候表示登陆成功,将返回数据改为其登陆成功的即可。


具体过程:

后台登陆地址http://127.0.0.1/manager/admin.php
JS文件地址:http://127.0.0.1/uiloader/js/uiloader_zh.js
首先来看一下JS的判断文件:


那...

			
		

	





	

		

			

				
					
IP限制绕过及gopher对redis的利用讲解

				
			

			

				

					weixin_41489908的博客
				

				

					10-03
					
					869
					
				

			

		

		

			
				
你崩溃到凌晨,她和他睡到自然醒。。。

---- 网页云热评



当对外发起请求时,会存在一个安全限制,比如去检测IP地址,去访问自己是不是127.0.0.1,相当于去访问内网段是192.168以及172网段。这种内网有非常明显的一个特征的,有不同的过滤存在,有的时候为了去绕过这些过滤,需要做出一些对应的方法以及策略去实现。



绕过





1、添加一个端口

限制情况下不允许纯IP的形式,默认情况下IP是80端口,比如访问的是99端口是可以的,一个加端口的操作,就可能去突破它的规则限制,当...

			
		

	





	

		

			

				
					
【精华】拒绝国外IP海外IP访问的几种方法

				
			

			

				

					小康师兄
				

				

					08-16
					
					1万+
					
				

			

		

		

			
				
【精华】拒绝国外IP海外IP访问的几种方法

			
		

	





	

		

			

				
					
如何解决网站限制IP访问的问题

					
热门推荐

				
			

			

				

					军说网事
				

				

					07-27
					
					4万+
					
				

			

		

		

			
				
一、网站为何限制IP访问

 

有些网站为有效遏制数据爬取和非法攻击等行为,保证普通用户访问速度和查询效果,网站系统增加了网络安全设备,强化了安全防护机制,预先设置了安全访问规则。

经过分析,用户无法正常访问网站的主要条件有:一是用户电脑安装了第三方查询软件或插件,引起非人为的、高频次的访问系统而被限制访问;二是用户电脑所处共用公网IP地址内的其他电脑存在机器访问行为,多次触发禁止访问规则,造...

			
		

	





	

		

			

				
					
限制ip访问后台 黑客破解后台也没用

				
			

			

				

					站在技术的顶端,才能看清脚下的路该通向何方--技术工程师之路!
				

				

					01-02
					
					4258
					
				

			

		

		

			
				
限制ip访问后台 黑客破解后台也没用,good idea。
 
下面的例子只允许127.0.0.1登陆后台 或者10.110.8.8
10.110.8.8 这个是管理员自己的远程IP限制指定IP断 黑客就算得到后台密码 也无法登陆
adminIP=Request.ServerVariables("REMOTE_ADDR")
if (left(adminIP,10)="110.8

			
		

	





	

		

			

				
					
PHP 登入时获取访客ip

				
			

			

				

					05-28
				

			

		

		

			
				
这段代码中,首先尝试获取客户端 IP,如果获取不到则尝试获取代理服务器 IP,最后使用 `$_SERVER['REMOTE_ADDR']` 获取 IP。  注意:获取到的 IP 可能是代理服务器的 IP,而不是客户端的真实 IP,因此在进行安全验证...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值