墨者学院-IP地址伪造(第1题)

最新推荐文章于 2022-07-22 12:56:00 发布
最新推荐文章于 2022-07-22 12:56:00 发布
阅读量399 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39998158/article/details/100540564
版权

IP地址伪造(第1题)

难易程度:★★
题目类型:网络安全
使用工具:FireFox浏览器、burpsuite

1.打开靶场,发现需要用户名和密码登录。

2.尝试常用的弱口令登录,最后知道用户名和密码都为admin。
但却给提示说只允许服务器上登录。
在这里插入图片描述
根据题目的提示,了解了环回地址。
loopback地址即是loopback接口上设置的地址,该地址用于标示设备本身。A类地址段127.0.0.0被用作本地环回地址,一般设备都默认采用127.0.0.1,当然也可在loopback接口上设置公网IP,作为全网的设备标识。

3.打开burpsuite,登录后截包,在下方添加X-Forwarded-For:127.0.0.1。
在这里插入图片描述
forward一下。

4.成功获取key!
在这里插入图片描述

JimWu95
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
墨者学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2)
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(第1)、PHP代码分析溯源(第2)、PHP逻辑漏洞利用实战(第1)、SQL手工注入漏洞测试(Access数据库)
墨者安全软件-免费杀毒软件
11-11
墨者安全专家是一款永久免费的免疫型安全防护软件,集墨者独创的 “革离术”、终身免费杀毒、修复系统漏洞、上网痕迹清理、网络防火墙、系统实时保护、安全互助社区等强大功能于一身。特别是独创的“革离术”,利用...
墨者学院 - IP地址伪造(第1)
多崎巡礼的博客
08-04 1729
猜用户密码 得到 用户:admin        密码:admin 登陆时提示 只允许在服务器上登陆 则需要伪装ip地址 方法一:需要工具                      : 火狐浏览器                     :X-Forwarded-For Header 使用X-Forwarded-For Header进行伪造 输入常见弱密码 admin admin 即可 ...
墨者 - IP地址伪造(第1)
吃肉唐僧的博客
07-18 400
正常登录,会提示需要本地服务器才可以登录 推断做了ip地址校验 用bp抓包 X-Forwarded-For: 127.0.0.1 伪装代理ip地址 密码猜测为admin,admin 成功
在线靶场-墨者-网络安全2星-IP地址伪造(第1)
weixin_42079912的博客
07-19 472
点开靶场地址,发现要进行登录,根据意得知是弱口令,于是使用账号admin,密码admin登录,发现登录进去了,但是不能访问,要特定地址才可以。于是浏览器挂代理,打开burp suite进行抓包。抓到数据包后,将数据包send to Repeater,数据包中添加一句话伪造ip地址X-Forwarded-For: 127.0.0.1(本地机)。然后点击GO发送,即可得到key。 另一种方法:直接...
IP地址伪造(第1)
qq_36933272的博客
09-01 641
利用弱口令尝试登陆,用户名密码都用admin ,发现能跳转但提示只能在服务器登陆。 利用burp截取发送登陆请求的包,send to repeater 。 伪造ip地址,x-forwarded-for:127.0.0.1,下面空一行。 go发送包,得到key ...
墨者学院-IP地址伪造(第2)
JimWu的博客
09-04 562
IP地址伪造(第2) 难易程度:★ 目类型:网络安全 使用工具:FireFox浏览器、burpsuite 1.打开靶场,看到需要用户名密码登录。 2.尝试常用的弱口令,最终知道用户名和密码都为test。 3.登录后发现只允许台湾的ip登录。 4.打开Burpsuite,再登录一次,截包。 在网上随便搜一个台湾的ip地址。 在下方加入X-Forwarded-For:台湾ip。 forwar...
APP原型实例:墨者科技-旅行小蜜APP2.0.rp
12-17
产品经理
0080 APP原型实例:墨者科技-旅行小蜜APP2.0.rp
01-06
rp原型源文件
墨者有巨子腹-居秦阅读答案】墨者有巨子腹.docx
11-13
墨者有巨子腹-居秦阅读答案】墨者有巨子腹.docx
墨者 - IP地址伪造(第2)
吃肉唐僧的博客
07-18 371
因为是测试系统,所以弱口令猜测为test 而且仅限台湾系统登录, 上网随便找个台湾的ip地址即可 X-Forwarded-For:123.193.100.221 还是利用X-Forwarded-For伪造ip ...
在线靶场-墨者-网络安全1星-IP地址伪造(第2)
weixin_42079912的博客
07-19 391
打开网站,发现需要登录,尝试用弱口令登录,试出使用账号test 密码test进行登录,发现只有台湾地区的ip才能登录。 打开浏览器代理,运行burp suite,进行登录抓包。抓到数据包后,将数据包send to Repeater,在Repeater的页面修改数据内容,添加X-Forwarded-For: 140:113:215:224(ip地址是台湾的即可)。点击GO发送,得到网页反馈信息,伪...
CTF-IP地址伪造(第1)
asd158923328的博客
08-24 2741
根据意 进入环境,根据提示,弱口令和系统设置只允许在服务器上登录。 用burp suite抓包,构造X-Forwarded-For:127.0.0.1,进入爆破,登录成功,获得key
墨者学院-日志文件分析溯源(连接WebShell的IP地址)
qq_37850901的博客
09-27 289
用emeditor打开,ctrl+f寻找php文件对应的ip,分析发现确实上传了木马,验证ip找到答案
墨者网络安全——ip地址伪造
weixin_53980169的博客
07-22 3242
墨者靶场测试之ip地址伪造
墨者学院—网络安全篇5
博客
09-17 185
文章目录IP地址伪造(第2)服务器返回数据查看 IP地址伪造(第2) 背景介绍 小墨听客户说某市民生活便捷查詢系统不能正常使用,已知存在测试账户。 实训目标 1、浏览器插件Modify Headers的使用 2、X-Forwarded-For的理解 3、纯真IP地址数据库的使用 解方向 根据页面提示,使用Modify Headers伪造ip地址思路 大致原理同上一篇 重点看目要求 已知存在测试账户。可以知道是test+test 登陆一下 看到这个 我们就知道需要ip地址伪造啦 打开Burps
$.ajax使用总结(二):伪造IP地址
甘焕的博客
06-20 6801
在JAVA与PHP的程序中,为了保证IP的正确性,经常采用如下的方法获取浏览器端的IP地址,代码如下:String ip = request.getHeader("x-forwarded-for"); if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("
安全开发之IP地址伪造
热门推荐
cavalier的学习之路
10-11 1万+
1.1  IP地址伪造漏洞 1.1.1  漏洞挖掘 1.1.1.1  漏洞描述 漏洞描述: IP地址伪造通常是伪造来源IP,为了绕过服务器端IP地址过滤,导致非授权IP地址可以获取更多的防问权限。在正常的TCP/IP 通信中,可以伪造数据包来源 IP 的,但这会让发送出去的数据包返回到伪造的IP上,无法实现正常的通信。既然无法实现TCP/IP层级别的IP伪造,那么可以在应用层协议HTTP上
Burpsuite插件 -- 伪造IP
weixin_41489908的博客
08-04 5366
太阳不是突然落山的,我希望你们永远听不懂这句话。。。 ---- 网易云热评 今天给大家介绍一款Burpsuite插件,burpFakeIP 一、下载地址 https://github.com/TheKingOfDuck/burpFakeIP 二、安装插件 1、解压到本地 2、打开burpsuite,选择Extender,Add 3、选择下载好python插件,选择下一步 4、安装成功 三、使用方法 1、伪造指定ip,右击抓到的数据包,选择fakeip,i...
墨者学院sql注入 x-f
最新发布
07-27
墨者学院SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在输入字段中插入恶意的SQL代码来实现对数据库的非授权访问。X-F是HTTP请求头部的一个字段,通常用于传递客户端IP地址或其他相关信息。在某些情况下,攻击者可能会尝试利用X-F字段进行SQL注入攻击。为了防止SQL注入攻击,开发人员应该合理地验证和过滤用户输入,并使用参数化查询或预编译语句来防止SQL注入攻击。此外,最好避免将用户输入直接拼接到SQL查询中。墨者学院可能提供相关的课程或教程来帮助开发人员学习和理解如何防止SQL注入攻击。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值