攻防世界web新手关之xff_referer

最新推荐文章于 2024-09-23 22:01:36 发布
最新推荐文章于 2024-09-23 22:01:36 发布
阅读量1.9k 收藏 11
点赞数 6
分类专栏: 攻防世界web 文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45746283/article/details/127876705
版权

xff:

很多HTTP代理会在HTTP协议头中添加X-Forwarded-For头,用来追踪请求的来源。

X-Forwarded-For的格式如下:

X-Forwarded-For: client1, proxy1, proxy2

X-Forwarded-For包含多个IP地址,每个值通过逗号+空格分开,最左边(client1)是最原始客户端的IP地址,如果有多层代理,每一层代理会将连接它的客户端IP追加在X-Forwarded-For右边。

一般的客户端发送HTTP请求没有X-Forwarded-For头的,当请求到达第一个代理服务器时,代理服务器会加上X-Forwarded-For请求头,并将值设为客户端的IP地址(也就是最左边第一个值),后面如果还有多个代理,会依次将IP追加到X-Forwarded-For头最右边,最终请求到达Web应用服务器,应用通过获取X-Forwarded-For头取左边第一个IP即为客户端真实IP。

但是如果客户端在发起请求时,请求头上带上一个伪造的X-Forwarded-For,由于后续每层代理只会追加而不会覆盖,那么最终到达应用服务器时,获取的左边第一个IP地址将会是客户端伪造的IP。伪造X-Forwarded-For头只需加上X-Forwarded-For头就可以

referer:

HTTP 请求的头信息里面,Referer 是一个常见字段,提供访问来源的信息。这个字段是可选的。客户端发送请求的时候,自主决定是否加上该字段。

具体操作

使用burp抓包,并根据提示设置xff为123.123.123.123:

X-Forwarded-For:123.123.123.123

发现又出现新的提示”必须来自于谷歌“ 。因此考虑到设置referer。 

根据提示继续设置referer:

Referer:https://www.google.com

成功获得flag。

Arik0
关注
专栏目录
网络安全 | CTF】攻防世界 xff_referer 解题详析
等风来
05-21 5471
(简称 XFF)是一个 HTTP 请求头部字段,它用于表示 HTTP 请求的客户端 IP 地址,尤其是当请求通过一个中介代理或负载均衡器时。该字段的值通常是一个逗号分隔的 IP 地址列表,其中第一个 IP 地址是最初连接到中介代理或负载均衡器的客户端 IP 地址。因为在这种情况下,服务器只能看到请求的中介代理或负载均衡器的 IP 地址,而无法直接获取客户端的真实 IP 地址。是另一个 HTTP 请求头部字段,它包含了当前请求的来源页面 URL 地址,即前一个页面的 URL 地址。
XCTF攻防世界练习区-web题-xff_referer
果冻先生的专栏
09-30 2万+
0x08 XFF Referer 【题目描述】 X老师告诉小宁其实xffreferer是可以伪造的。 【目标】 掌握有关X-Forwarded-For和Referer的知识: (1)X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。xff 是http的拓展头部,作用是使Web服务...
攻防世界----xff_referer
最新发布
qq_45021843的博客
09-23 515
该题结合抓包、改包,考察XFFreferer,读者可躬身实践。我们下次再见喽。
XFFReferer(含实操)
热门推荐
slj1552560的博客
02-16 2万+
Part1:XFFReferer基本了解 关于xffreferer维基百科: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。简单地说,xff是告诉服务器当前请求者的最终ip的http请求头字段通常可以直接通过修改http
攻防世界-web-xff_referer
wuh2333的博客
04-16 909
攻防世界xff, referer
攻防世界-web xff_Referer
m0_53533553的博客
09-11 2275
xff_Referer 扩展 xff Romote Address xff简称X-Forwarded-For X-Forwarded-For 是一个 HTTP 扩展头部,是用来识别通过HTTP代理,或,负载均衡方式,连接到Web服务器的客户端最原始的IP地址,的HTTP请求头字段。 主要是为了让 Web 服务器获取访问用户的真实 IP 地址。 那为什么 Web 服务器只有通过 X-Forwarded-For 头才能获取真实的 IP? Remote Address代表的是当前HTTP请求的远程地址,即HTTP
攻防世界web新手题答案_攻防世界web 新手区 wp
weixin_39518840的博客
11-21 2983
view_source题目描述右击不管用,打开题目看到以下界面右击不管用,可以按F12 -> source 查看源代码,拿到flagrobots题目描述就是和robots协议有关的,直接在url中 输入robots.txt 查看 robots协议,并拿到flagrobots协议robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统自带的Note...
攻防世界 web新手练习区题解 下
weixin_46330722的博客
10-30 703
攻防世界 web新手练习区题解 下simple_phpget_postxff_refererwebshellcommand_executionsimple_js simple_php 题目直接给出了源码,我们直接来分析一下,首先题目是要求我们通过get方式传递一个名为a和一个名为b的参数,并分别赋值给$a,$b。第一个判断是$a=0并且$a不能被判断为false。本地搭一个测试页面。 访问一下,并传递值为0的a参数 可见,$a被判断为了false。这里我们应该看到它使用的比较符==,看一下官方文档。
攻防世界 WEB
BvxiE的博客
02-11 1251
攻防世界 新手WEBview sourcerobots​​​​backup功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 view source 查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了,那就F12吧!​ 或
CTF--攻防世界Web新手训练7-12
qq_40730029的博客
04-28 2051
7.simple_php 8.get_post 9.xff_referer 11.command_execution 12.simple_js 7.simple_php 题目:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 进入场景之后看到php代码,我们只需通过get方式将满足条件的a,b值输入在地址栏即可拿到flag flag如下: Cyberpeace{647E37...
攻防世界Web新手区部分解
weixin_51334923的博客
10-20 624
好,鸽了这么旧,学业繁忙的我就出一篇简单的攻防世界Web新手区的WriteUp吧,顺带作为自己的复习笔记。 攻防世界 (xctf.org.cn) 转存失败重新上传取消 攻防世界,一大CTFers的网站,上面有在线靶场以及竞赛等资源,推荐初学者上去学习。 我们今天看一下Web新手区的一些WP吧! 1.view_source 基础的第一关,却是后面无数关的基础。 作为一个Web手,查看网页源代码是必须会的一件事情!! 点进网页一看: flag不在这里,那应该在源代码里。
攻防世界 web xff_referer
Kni9hT's Blog
03-01 659
真棒!每个web题都能学点新东西,而且感觉很nb的样子。不像pwn,wtnl… 本题涉及: XFF: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 referer: HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页...
攻防世界 web——xff_referer
XYZCG的博客
09-03 642
(1)X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。由于很多用户通过代理服务器进行访问,服务器只能获取代理服务器的IP地址,而xff的作用在于记录用户的真实IP,以及代理服务器的IP。(2)HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得一些信息用于处理。
攻防世界 Web xff_referer
Emjl__的博客
05-10 1962
题目描述中说道 xffreferer 是可以伪造的。而这道题中我们就来伪造这二者。 X-Forward-For(xff)是客户端连接到网页的ip,referer是客户从哪个网页来访问的当前页面。 打开 burp suite ,对网页抓包,发送给重发器(repeater)。 要求 ip 为123.123.123.123,就在请求中添加 X-Forwarded-For: 123.123.123.123 发送。 审查响应,发现要求客户从https://www.google.com发起请求。
攻防世界xff_referer(web简单)
my_name_is_sy的博客
05-28 440
题目:老师告诉小宁其实xffreferer是可以伪造的 抓包,(我用的burp),然后按照提示依次插入xffreferer词条,如下: 相关知识: xff: X-Forwarded-For X-Forwarded-For (XFF) 在客户端访问服务器的过程中如果需要经过HTTP代理或者负载均衡服务器,可以被用来获取最初发起请求的客户端的IP地址,这个消息首部成为事实上的标准。在消息流从客户端流向服务器的过程中被拦截的情况下,服务器端的访问日志只能记录代理服务器或者负载均衡服务器的IP地址。如.
攻防世界-xff_referer
m0_49025459的博客
12-30 302
抓包看看,打开场景,页面提示我们ip必须是123.123.123.123,我们就想到burpsuite抓包,添加上X-Forwarded-For:123.123.123.123。我们看到页面提示必须来自https://www.google.com,那我们添加Referer:https://www.google.com。
攻防世界——xff_referer
weixin_73668856的博客
11-23 848
新手web
攻防世界(WEB) xff_referer
qq_54929891的博客
08-26 2095
首先做之前,先去了解一下xffreferer是什么东西 xff:X-Forwarded-For(header里面的一部分) 就是浏览器访问一个网站的ip地址 详细可以看另一位博主https://blog.csdn.net/weixin_43605586/article/details/100607877?utm_term=xff%E6%98%AF%E4%BB%80%E4%B9%88%E4%B9%88&utm_medium=distribute.pc_aggpage_search_result.
xff_vision csdn
09-23
xff_vision是CSDN社区中的一个用户账号,该用户可能是一个程序员或者对技术有浓厚兴趣的个人。CSDN是中国最大的IT技术社区,用户可以在CSDN上分享和交流有关技术、编程、开发和科技的知识和经验。 通过xff_vision这个用户名,我们可以推测该用户对技术视野开阔,对技术的发展有自己的理解和见解。可能是一个有影响力的技术博主或者需要在CSDN上进行技术交流的用户。 在CSDN上,用户可以发布自己的技术博客,与其他技术人员进行交流讨论,提问和解答问题,分享经验和心得。用户可以关注其他用户,并通过关注来获取技术动态和学习资源。 xff_vision可能会发布一些关于计算机视觉、机器学习、人工智能等技术领域的文章,分享自己在这些领域的研究成果或者学习心得。该用户可能会参与一些开源项目或者组织技术研讨会,以加深自己的技术理解和交流。 总的来说,通过参与CSDN社区,xff_vision可以与同行进行沟通交流,扩大自己的技术影响力,同时也可以从其他人的文章和问题中获取新的学习和启发,让自己的技术视野更加开阔。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值