xff(x-forwarded-for)介绍,某些ctf题目中的利用

最新推荐文章于 2024-05-11 22:05:45 发布
最新推荐文章于 2024-05-11 22:05:45 发布
阅读量7.3k 收藏 15
点赞数 3
分类专栏: ctf 文章标签: xff
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43605586/article/details/100607877
版权

IP伪造

TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造

XFF字段

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。通俗来说,就是浏览器访问网站的IP。一般格式:

X-Forwarded-For: client1, proxy1, proxy2, proxy3

左边第一个是浏览器IP,依次往右为第一个代理服务器IP,第二个,第三个(使用逗号+空格进行分割)

伪造方式
1:通过firefox插件x-forwarded-for直接改造

2:用burp抓包,发送到repeater模块进行增加,修改(ps:referer也可以修改
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。)
在这里插入图片描述
3:在repeater模块中的Header中修改
在这里插入图片描述
ctf中利用:
比如有些题目:
1:最简单的就是攻防世界的xff_referer
,让我们伪造xff和referer,burp中repeter模块修改了题目指定的xff和referer
在这里插入图片描述,然后中go一下就可以得到flag
:2:还有我在网上某一个博客中看到的一道题:
名字叫:are you in class
提示:“在不在学校主要看Ip,192的某内网段”
这道题涉及的其他知识不提,但是这道题需要xff伪造,然后才能做下去。
如果想看这道题具体内容,可以点下面一个链接
题目完整解析

3:xff注入
通过修改可以判断是否存在注入
xff注入

其他的我就不太了解了

highgerms
关注
  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF】攻防世界 xff_referer 解题详析
等风来
05-21 4757
(简称 XFF)是一个 HTTP 请求头部字段,它用于表示 HTTP 请求的客户端 IP 地址,尤其是当请求通过一个介代理或负载均衡器时。该字段的值通常是一个逗号分隔的 IP 地址列表,其第一个 IP 地址是最初连接到介代理或负载均衡器的客户端 IP 地址。因为在这种情况下,服务器只能看到请求的介代理或负载均衡器的 IP 地址,而无法直接获取客户端的真实 IP 地址。是另一个 HTTP 请求头部字段,它包含了当前请求的来源页面 URL 地址,即前一个页面的 URL 地址。
CTF之路:关于X-Forwarded-For注入
zw05011的博客
01-05 3019
题目 输入任意用户名密码登录,显示IP禁止访问。 知识点 伪造XFF头绕过服务器IP过滤 IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造 XFF字段 X-Forwarded-For(XFF)简称XFF头,是HTTP 报文头部的关键字段之一。代表了HTTP的请求端真实的IP。它被认为是客户端通过HTTP代理或者负载均衡器连接到web服务端获取源ip地址的一个标准(通常一些网站的防注入..
攻防世界-xff_referer
最新发布
MateSnake的博客
05-11 314
攻防世界-xff_referer
CTF-web】修改请求头(XFF
Sankkl1的博客
08-13 864
该请求标头是一个事实上的用于标识通过代理服务器连接到 web 服务器的客户端的原始 IP 地址的标头。我们可以通过伪造XFF头来假装本地登录,即在request头加入。随意输入后可以看到需要本地管理员登录,得知这是一道需要修改XFF头的题。
XFF漏洞和referer的含义
zx980414k的博客
03-11 3093
XFF即x-forward-for,后面跟发起http请求的原始ip地址,如果是本机就是127.0.0.1 referer可以理解为从哪来,比如我用百度搜索CSDN,然后点击链接进入之后,在页面上按f12查看请求头会发现referer就是百度的域名。 XFF和referer可以用burp截断以后伪造,这就是XFF漏洞。 ...
攻防_漏洞_XFF欺骗
redglare的博客
11-24 678
XFF:X-Forwarded-For 表示ip字段 抓包并添加这个字段 例如:X-Forwarded-For:123.123.123.123 可欺骗接收方 造成发送者ip为:123.123.123.123 的假象
X-Forwarded-For绕过服务器IP地址过滤
公众号shadow sock7
06-03 1万+
参考: http://www.jianshu.com/p/98c08956183d https://github.com/bl4de/ctf/blob/master/2017/nullcon_HackIM_2017/Web1.md看到一个CTF有一个与X-Forwarded-For有关的。 通过在HTTP头设置X-Forwarded-For: 127.0.0.1在正常的TCP 通信,是
X-Forwarded-For火狐插件
01-10
X-Forwarded-For火狐插件
Chrome插件:X-Forwarded-For Header
12-15
`X-Forwarded-For`(简称XFF)头是一个在HTTP协议广泛使用的非标准头,它用于记录客户端的真实IP地址,特别是在通过代理服务器或负载均衡器访问Web服务时。 **X-Forwarded-For Header 描述** 在描述提到的“X-...
Golang间件,用于处理X-Forwarded-For标头-Golang开发
05-26
Go软件包的X-Forwarded-For间件xff是net / http间件/处理程序,用于解析GolangForwarded HTTP Extension。 用法示例安装xff:转到get github.com/sebest/xff编辑server.go:打包主X-Forwarded-For间件转到...
X-Forwarded-For详细介绍PDF
01-18
在网络通信,X-Forwarded-For(XFF)是一个HTTP请求头部字段,用于标识客户端的原始IP地址。当请求通过代理服务器或负载均衡器时,原始的客户端IP地址可能会被隐藏,而X-Forwarded-For头部字段则记录了经过的代理...
ACSG_v12.0.23以上版本_代理上网支持X-forwarded-For_X-forwarded-By功能说明.pdf
09-24
代理上网支持X-forwarded-For和X-forwarded-By功能说明 本文档旨在为ACSG v12.0.23以上版本的代理上网功能提供详细的功能说明,着重于X-forwarded-For和X-forwarded-By两个关键功能的使用和配置。 一、介绍 代理...
web题的XFF(x-forworde-for)
MIGENGKING的博客
09-22 2079
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 简单地说,xff是告诉服务器当前请求者的最终ip的http请求头字段 通常可以直接通过修改http头的X-Forwarded-For字段来仿造请求的最终ip HTTP来源地址(referer,或HTTPreferer) 是HTTP表头的一个字段,用来表...
XFF漏洞利用说明
墨痕诉清风的博客
10-09 2204
X-Forwarded-For(XFF) XFF是header请求头的一个参数 是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 代表了HTTP的请求端真实的IP。 X-Forwarded-For: client1, proxy1, proxy2, proxy3 //浏览器IP,第一个代理服务器,第二个三个四个等等 利用方式 1.绕过服务器过滤 XFF漏洞也称为IP欺骗。 有些服务器通过XFF头判断是否是本地服务器,当判断为本地服务器时,
X-Forwarded-For
yuange
04-25 6789
问题背景 在Web应用开发,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在Java,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
CTF-SQL注入-X-Forwarded-For报文头
whatiwhere的博客
12-02 1317
nmap -sV xxxxx nmap -T4 -A -v xxxx nikto -host http://192.168.173.134/ 发现了后台登陆地址,但弱口令无法登陆 使用awvs扫描 安全漏洞 高危漏洞 盲注 使用sqlmap进行 注入 sqlmap -u “http://192.168.176.134/” --headers=“X-Forwarded-For:*” -...
bugku ctf 管理员系统 (伪造x-forwarded-for绕过服务器IP)
qq_42777804的博客
05-18 4502
随便输入 发现 ip禁止访问 与本地管理员联系登陆 我们查看源码 到最后发现 <!-- dGVzdDEyMw== --> 在线base64解密得到 test123 Username: admin Password:test123 发现居然还是不能提交 那么burp抓包 发给 repeater 发现了可以通...
使用nginx后如何在web应用获取用户ip及原理解释
臻心依旧
08-28 2399
http://gong1208.iteye.com/blog/1559835   使用nginx后如何在web应用获取用户ip及原理解释                                                                                                  -------gongyong   问题背景: 在实际
利用X-Forwarded-For伪造客户端IP漏洞成因及防范
热门推荐
叉叉哥的BLOG
10-15 6万+
问题背景 在Web应用开发,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在Java,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
XFF (X-Forwarded-For) 伪造
07-27
X-Forwarded-For (XFF) 是一个 HTTP 请求头,用于标识客户端的原始 IP 地址。它通常被代理服务器用于传递请求的真实来源,以便目标服务器能够获取到正确的客户端 IP 地址。 然而,由于 XFF 是一个可编辑的请求头,恶意用户可以伪造 XFF 头部来隐藏他们的真实 IP 地址或者冒充其他 IP 地址。这种伪造的行为被称为 XFF 伪造。 XFF 伪造可能导致安全风险和隐私问题,因为目标服务器可能会依赖 XFF 头部来进行访问控制、日志记录或者其他安全相关的操作。攻击者可以利用 XFF 伪造来绕过这些控制措施或者混淆日志记录。 为了防止 XFF 伪造,服务器端应该采取一些措施来验证和过滤 XFF 头部。这包括检查 XFF 头部是否符合预期格式、验证 IP 地址的合法性,以及结合其他安全措施来确保请求的可信度。此外,网络管理员还可以使用 Web 应用防火墙 (WAF) 或其他安全设备来检测和阻止 XFF 伪造攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值