攻防世界-WEB:xff_referer

最新推荐文章于 2024-05-23 19:00:00 发布
最新推荐文章于 2024-05-23 19:00:00 发布
阅读量323 收藏
点赞数 1
分类专栏: 攻防世界 文章标签: 安全 学习 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlw1275178332/article/details/129644304
版权

题目:https://adworld.xctf.org.cn/challenges/problem-set-index?id=25&rwNmOdr=1679149714756

题目描述:X老师告诉小宁其实xff和referer是可以伪造的。 根据题目描述,那就是考验xff和referer知识。

知识补充:

XFF

X-Forwarded-ForXFF)是用来识别通过HTTP代理负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段,并由IETF在HTTP头字段标准化草案中正式提出。

这一HTTP头一般格式如下:

X-Forwarded-For: client1, proxy1, proxy2, proxy3

其中的值通过一个 逗号+空格 把多个IP地址区分开, 最左边(client1)是最原始客户端的IP地址, 代理服务器每成功收到一个请求,就把请求来源IP地址添加到右边。 在上面这个例子中,这个请求成功通过了三台代理服务器:proxy1, proxy2 及 proxy3。请求由client1发出,到达了proxy3(proxy3可能是请求的终点)。请求刚从client1中发出时,XFF是空的,请求被发往proxy1;通过proxy1的时候,client1被添加到XFF中,之后请求被发往proxy2;通过proxy2的时候,proxy1被添加到XFF中,之后请求被发往proxy3;通过proxy3时,proxy2被添加到XFF中,之后请求的的去向不明,如果proxy3不是请求终点,请求会被继续转发。

Referer

referrer 网站来路;访问者进入网站的任何途径。HTTPReferrer是header的一部分,当浏览器向web服务器发出请求的时候,一般会带上Referer,告诉服务器用户从那个页面连接过来的,服务器藉此可以获得一些信息用于处理。

总结就是xff可以用来构造来源ip地址(可伪造),referer可以用来构造来源网址URL

了解了一下基础知识,那我们现在就打开场景看看

映入眼帘的就是IP地址,那根据上面我们所了解的,这应该就是我们要构造的xff的IP地址

使用bp抓包,在头部加上 xff(注意大写字母),然后放行。

X-Forwarded-For:123.123.123.123

网页回显直接告诉我们了referer所要构造的来源URL

那我们在头部再加上referer(注意大写字母),放行

Referer:https://www.google.com

网页回显flag,完成!

只会拔网线
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF】攻防世界 xff_referer 解题详析
等风来
05-21 4802
(简称 XFF)是一个 HTTP 请求头部字段,它用于表示 HTTP 请求的客户端 IP 地址,尤其是当请求通过一个中介代理或负载均衡器时。该字段的值通常是一个逗号分隔的 IP 地址列表,其中第一个 IP 地址是最初连接到中介代理或负载均衡器的客户端 IP 地址。因为在这种情况下,服务器只能看到请求的中介代理或负载均衡器的 IP 地址,而无法直接获取客户端的真实 IP 地址。是另一个 HTTP 请求头部字段,它包含了当前请求的来源页面 URL 地址,即前一个页面的 URL 地址。
web题的XFF(x-forworde-for)
MIGENGKING的博客
09-22 2092
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 简单地说,xff是告诉服务器当前请求者的最终ip的http请求头字段 通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip HTTP来源地址(referer,或HTTPreferer) 是HTTP表头的一个字段,用来表...
攻防世界6-10题
yxltx_的博客
11-12 369
第六题
[CTF_网络安全] 攻防世界 xff_referer 解题详析
最新发布
qingkahui24689的博客
05-23 1786
[CTF_网络安全] 攻防世界 xff_referer 解题详析,该题结合抓包改包姿势考察XFF及referer,读者可躬身实践。,我们下次见。
攻防世界xff和refereer
m0_73303597的博客
11-09 828
紫铜
XCTF攻防世界练习区-web题-xff_referer
热门推荐
果冻先生的专栏
09-30 2万+
0x08 XFF Referer 【题目描述】 X老师告诉小宁其实xff和referer是可以伪造的。 【目标】 掌握有关X-Forwarded-For和Referer的知识: (1)X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。xff 是http的拓展头部,作用是使Web服务...
mediapipe-0.10.8-cp38-cp38-manylinux2014_aarch64.zip
11-21
if cv2.waitKey(5) & 0xFF == 27: break ``` 在上述代码中,我们首先设置了手部检测的置信度阈值,然后在循环中读取视频帧,对每一帧进行处理,获取手部地标并绘制在原始图像上。当按下ESC键时,程序会终止。 ...
icesugar-pro:iCESugar系列FPGA开发板
03-09
iCESugar-pro iCESugar-pro iCESugar-pro是基于莱迪思LFE5U-25F-6BG256C的FPGA板,完全受开源工具链(yosys和nextpnr)支持,该板采用DDR SODIMM形式设计,具有106个可用IO,板载32MB SDRAM。 ,它可以运行RISC-V ...
java-crc.rar_crc java_crc-ccitt_java crc
09-14
crc = crc ^ (b & 0xFF); for (int i = 0; i ; i++) { if ((crc & 0x0001) != 0) { crc = (crc >> 1) ^ POLYNOMIAL; } else { crc = crc >> 1; } } } } public int getValue() { return crc; } } ``` ...
ER-wizard-0xFF-WSLE:适用于 Ubiquiti EdgeMAX 设备的 BMK-Webstatus-LetsEncrypt 向导支持向导
05-30
ER向导-0xFF-WSLE 适用于 Ubiquiti EdgeMAX 设备的 BMK-Webstatus-LetsEncrypt 向导支持向导 重要提示:状态页面在当前 EdgeOS 版本上使用 python,在 EdgeOS v1.9.7alpha2 或更早版本上使用 PHP。 使用此 git 中...
JS-SHA1.rar_java SHA-1_js_js java sha
09-22
JavaScript(简称JS)是一种广泛用于Web开发的轻量级脚本语言,而SHA-1是一种常用的密码散列函数,能够将任意长度的信息映射为固定长度的摘要值。本资料"JS-SHA1.rar"主要关注如何在Java和JavaScript环境中实现SHA-1...
xff_referer
qdlws的博客
07-25 428
xff_referer
攻防世界(WEB) xff_referer
qq_54929891的博客
08-26 1979
首先做之前,先去了解一下xff和referer是什么东西 xff:X-Forwarded-For(header里面的一部分) 就是浏览器访问一个网站的ip地址 详细可以看另一位博主https://blog.csdn.net/weixin_43605586/article/details/100607877?utm_term=xff%E6%98%AF%E4%BB%80%E4%B9%88%E4%B9%88&utm_medium=distribute.pc_aggpage_search_result.
攻防世界-xff_referer
m0_49025459的博客
12-30 250
抓包看看,打开场景,页面提示我们ip必须是123.123.123.123,我们就想到burpsuite抓包,添加上X-Forwarded-For:123.123.123.123。我们看到页面提示必须来自https://www.google.com,那我们添加Referer:https://www.google.com。
CTF做题小记
weixin_51536807的博客
01-22 3335
1.XCTFWeb新手区xff_referer 根据题目描述先了解XFF和Referer。 再看到题目中的“ip地址必须为123.123.123.123”我们可以想到用BP抓包修改IP地址。 在请求中加入 X-Forwarded-For:123.123.123.123 注:要加在Connection: close之前 发现得到了一句话: 这时就要用上Referer伪造了。 再次添加 Referer:https://www.google.com 后发送即可得到flag。 2.XCTFWeb新
攻防世界 web xff_referer
shidonghang的博客
10-26 2536
xff_referer 题目 场景 过程 使用火狐的X-Forwarded-For Header来更改IP为123.123.123.123。 重新编辑报文,在最下面加入Cache-Control:max-age=0,再发送。 从响应载荷下面一长串中可以找到flag。 ...
XCTF攻防世界web新手练习_ 6_xff_referer
silence1_的博客
04-28 1万+
XCTF攻防世界web新手练习—disabled_button 题目 题目为xff_referer,描述信息 根据描述信息,知道题目应该与xff和referer相关 进入题目,看到 于是用brup抓包,在http头加一条X-Forwarded-For: 123.123.123.123 发送请求 在响应中看到必须来自谷歌 于是再次增加一条Referer: https://www.google.c...
XCTF篇(新手练习)Web之xff_referer
qq_43230425的博客
09-20 598
XCTF篇(新手练习)Web之xff_referer 题目: 打开场景后为: 根据题目提示,简单了解一下xff和referer: HTTP来源地址(referer,或HTTP referer) 是HTTP表头的一个字段,用来表示从哪儿链接到当前的网页,采用的格式是URL。换句话说,借着HTTP来源地址,当前的网页可以检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。 X-Forwarded-For(XFF) 是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的H
这段代码怎么打印控制台X Y坐标for (size_t j = 0; j < res.size(); j++) { cv::Rect r = get_rect(img, res[j].bbox); cv::rectangle(img, r, cv::Scalar(0x27, 0xC1, 0x36), 2); cv::putText(img, std::to_string(r.x) + "," + std::to_string(r.y), cv::Point(r.x, r.y - 15), cv::FONT_HERSHEY_PLAIN, 1.2, cv::Scalar(0xFF, 0xFF, 0xFF), 2); }
06-06
cv::putText(img, std::to_string(r.x) + "," + std::to_string(r.y), cv::Point(r.x, r.y - 15), cv::FONT_HERSHEY_PLAIN, 1.2, cv::Scalar(0xFF, 0xFF, 0xFF), 2); } ``` 这样每次循环会输出一个目标的位置信息...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值