CTF--基于X-Forwarded-For的IP地址伪造

最新推荐文章于 2025-10-11 00:00:00 发布
原创 最新推荐文章于 2025-10-11 00:00:00 发布 · 1.9k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #nginx #安全 #http

本文解析X-Forwarded-For头在代理服务器中的作用,如何被用于IP地址伪造,以及在绕过IP限制场景中的应用实例。

X-Forwarded-For以及其作用

一般的客户端(例如:浏览器)在发送HTTP请求时,并不会设置X-Forwarded-For头,当请求在到达第一个代理服务器时,代理服务器会在请求字段中加上X-Forwarded-For这个字段,并将其值设置为客户端的IP地址,后面如果还有更多的代理服务器,会依次将Ip地址追加到X-Forwarded-For这个字段中,最终当请求到达了Web应用服务器,应用会通过获取X-Forwarded-For头取出最左边的IP地址,即为客户端的真实IP地址。

如果客户端在发起请求时,请求头上带上一个伪造的X-Forwarded-For,由于后续每层代理只会追加而不会覆盖,那么最终到达应用服务器时,最左边的IP地址就是客户端伪造的IP地址。

这个利用方法可以绕过一些针对IP地址进行限制的应用,例如:投票等应用

具体实操

查看题目

 

CTF--基于X-Forwarded-For的IP地址伪造

 

 

CTF--基于X-Forwarded-For的IP地址伪造

 

 

分析题目

1.打开页面,发现是一个登录页面

2.使用F12查看网页原代码以及注释,看有没有什么比较重要有价值的信息,然而并没有。

 

最低0.47元/天 解锁文章
CTF训练 web安全SQl注入(X-Forwarded-For报文头)
梁辰兴的博客
11-05 657
SQl注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQl语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。任何一个用户可以输入的位置都可能是注入点,比如url中,以及http报文中。只要是用户可以输入的位置都是有可能存在注入点的!
CTF-Web28(涉及http伪造
→_→
10-01 2697
28.头有点大 分析: 根据题目意思要满足三个条件才可以 第一个是安装.net9.9框架 第二个是保证在英国地区 第三个是用ie浏览器 第一个和第三个我们可以在User-Agent后加上(MSIE 9.0;.NET CLR 9.9)来实现 最后一个在英国我们把语言改成en-gb即可 修改 结果 具体解析摘自:https://blog.youkuaiyun.com/Everywhere_wwx/article/details/78266399 首先...
CTF攻防世界WEB精选基础入门:xff_referer
最新发布
weixin_46417756的博客
10-11 350
本文摘要: XFF(X-Forwarded-For)用于获取经过代理服务器后的客户端真实IP,格式为"X-Forwarded-For:客户端IP"。Referer用于标识请求来源网址。解题时需使用BURP抓包,先通过XFF发送指定IP地址123.123.123.123,根据页面提示再使用Referer发送指定URL,最终获取flag。
CTF-HTTP头注入漏洞测试(X-Forwarded-for)
asd158923328的博客
08-21 2520
根据题意 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址HTTP请求头字段。 进入环境,打开跳转页 打开Burp Suite ,抓包,右键发送给repeater,填入X-Forwarded-For,首先判断是否可注入。 order by 判断表数量,从1开始依次试试,最后发现是4 union select 1,2...
CTFIP伪造
King
09-13 5720
原题如下: 解题思路: 题目告诉我们该网站还没发布到网上,也就是说它需要在本地访问,现在我们需要想办法来访问这个网站取得flag 显然我们要进行IP地址伪造 我们通过抓包获得HTTP请求头部的信息,发现请求头中并没有XFF的信息,于是就在末尾加上了XFF X-Forwarded-For:127.0.0.1 最后,将请求头重新发送,就得到了flag ...
CTF实验:X-Forwarded-For头注入
floyd_art的博客
04-01 1716
SQL注入漏洞介绍 SQL注入攻击指用用户构建特殊的输入作为参数传入Web应用程序,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 任何一个用户可以输入的位置都可能是注入点。比如url中,以及http报文中; 信息探测 扫描主机服务信息以及服务版本 – nmap -sV 靶场IP地址 快速扫描主机全部信息 – nmap -T4 ...
CTF练习:SQL注入之X-Forwarded-For报头
qq_43233085的博客
11-28 1117
CTF练习:SQL注入之get参数注入环境准备信息收集漏洞挖掘sqlmap注入上传shell脚本(copy)拿到靶机shell(copy) 靶机地址: 链接: https://pan.baidu.com/s/1u-br8L4Lk4X7EGS7kROhMQ 提取码: 2fmj 环境准备 开启两台机器,一台靶机一台kali攻击机,配置好桥接网络,使其在同一网段内。 查看攻击机kali的IP,为172....
记一次-X-Real-IP、X-Forwarded-For 防止伪造
e_shi_yi_p的博客
11-13 2143
背景:只有一层nginx,获取真实ip。防止伪造 nginx 配置 server { listen 443 ssl; server_name localhost; ssl_certificate server.crt; #ssl_certificate cert.pem; ssl_certificate_key server.key; #ssl_certificate_ke
如何实时监测分析X-Forwarded-For伪造
NetInside__的博客
05-09 1332
什么是X-Forwarded-For 如果要问当下最走红的应用层协议,当HTTP莫属,一个无状态维护协议,其连接基于TCP,在HTTP协议头部没有IP地址字段。所以,如果要在应用层保存IP地址信息(应用服务器统计访问者信息的主要来源之一),只能通过X-Forwarded-For头部字段来实现。 X-Forwarded-For位于HTTP协议的请求头部,属于HTTP的头部扩展。在HTTP/1.1(R...
CTF之路:关于X-Forwarded-For注入
zw05011的博客
01-05 3505
题目 输入任意用户名密码登录,显示IP禁止访问。 知识点 伪造XFF头绕过服务器IP过滤 IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造 XFF字段 X-Forwarded-For(XFF)简称XFF头,是HTTP 报文头部的关键字段之一。代表了HTTP的请求端真实的IP。它被认为是客户端通过HTTP代理或者负载均衡器连接到web服务端获取源ip地址的一个标准(通常一些网站的防注入..
墨者学院-X-Forwarded-For注入漏洞实战
weixin_42939822的博客
03-27 6593
墨者学院-X-Forwarded-For注入漏洞实战
xff(x-forwarded-for)介绍,某些ctf题目中的利用
09-07 9099
IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造 XFF字段 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址HTTP请求头字段。通俗来说,就是浏览器访问网站的IP。一般格式: X-Forwarded-For: clien...
CTF-SQL注入(X-Forwarded-For
su__xiaoyan的博客
12-24 753
SQL注入 当Web应用向后台数据库传递SQL语句进行数据库操作时。如果对用户输入的参数没有经过严格的过滤处理,那么攻击者就可以构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中的数据。 X-Forwarded-For HTTP请求头部字段,用来表示 HTTP 请求端真实 IP。 XFF注入/ X-Forwarded-For XFF,是X-Forwarded-for的缩写,XFF注入是SQL注入的一种,该注入原理是通过修改X-Forwarded-for头对带入系统的dns进行sql注
BUUCTF-bp改本机访问等
m0_64180167的博客
04-02 654
第五周 4.2。
CTF-IP地址伪造(第1题)
asd158923328的博客
08-24 2930
根据题意 进入环境,根据提示,弱口令和系统设置只允许在服务器上登录。 用burp suite抓包,构造X-Forwarded-For:127.0.0.1,进入爆破,登录成功,获得key
BugkuCTF管理员系统(IP禁止访问)
Sandra_93的博客
10-22 3856
IP禁止访问问题: 之前做一道题时,进入robots.txt,发现要访问/console,然后F12 在网络处编辑和重发消息头,发送后响应有flag, 在头部里加一个字段:X-forwarded-for 伪造一个源ip, X-forwarded-for :127.0.0.1 上面这部分是一次比赛的记录,找不到题目,随便看看算了 管理员系统: 又是IP禁止访问的问题,想到了在伪造IP: 首先查看...
常用请求伪装头
偷一个月亮
08-31 1107
X-Forwarded-For:127.0.0.1 X-Forwarded:127.0.0.1 Forwarded-For:127.0.0.1 Forwarded:127.0.0.1 X-Forwarded-Host:127.0.0.1 X-remote-IP:127.0.0.1 X-remote-addr:127.0.0.1 True-Client-IP:127.0.0.1 X-Client-IP:127.0.0.1 Client-IP:127.0.0.1 X-Real-IP:127.0.0.1 Ali-
X-Forwarded-ForCTF 中的使用
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-07 1511
ip 末尾的 .0.1 要改成变量,当然了,不一定是 10.1.0.1,其他地址也可以,目的是改变 ip 地址实现无限投票。猜测是用户密码,由于是管理员,我们猜测用户为 admin,登录后提示用本地管理员登录。网页提示从本地访问,那就要用到 XFF 了,打开 burp,打开代理,访问网站抓包。下面就举个刷赞的例子。
NSSCTF做题(7)
wwwwyyyrre的博客
10-09 1550
反序列化这道题还是反着来,先去找pop链的尾部,找到尾部之后再往前翻1.要想读出 flag.php 就要触发 file_get_contents() 函数;2.要想触发 file_get_contents() 函数就要触发 ace 的 echo_name();
1751030266527 Error Proxy [8] The client failed to negotiate a TLS connection to push.services.mozilla.com:443: Received fatal alert: bad_certificate如何解决X-Forwarded-For: 127.0.0.1添加后
06-28
### ### 问题分析与解决方法 在添加 `X-Forwarded-For: 127.0.0.1` 请求头后,如果出现 TLS 证书错误,通常表示客户端无法成功建立 HTTPS 连接。这种错误可能由多种原因引起,包括服务器配置、域名验证失败或中间人攻击防护机制触发等。 当使用工具如 `curl` 或浏览器发送带有伪造请求头的请求时,目标服务可能会因为 SNI(Server Name Indication)不匹配、证书绑定域名不一致等问题拒绝连接[^1]。尤其在 CTF 比赛中,一些 Web 题目会设置特定的 Host 头或域名访问限制,若未正确构造请求头,可能导致 TLS 握手失败。 为了解决此类问题,可以采取以下策略: #### 使用 curl 忽略证书错误但保留协议安全性 ```bash curl -k --insecure -H "Host: localhost" -H "X-Forwarded-For: 127.0.0.1" https://<target-ip>/flag ``` 其中 `-k` 或 `--insecure` 参数允许 `curl` 在 SSL/TLS 证书验证失败的情况下继续执行请求。此方法适用于测试环境和可控的比赛场景,但在生产环境中应避免使用,以防止潜在的安全风险。 #### 强制指定 TLS 版本并忽略证书错误 ```bash curl --tlsv1.2 -k -H "Host: localhost" -H "X-Forwarded-For: 127.0.0.1" https://<target-ip>/flag ``` 部分服务器可能仅支持特定版本的 TLS 协议。通过显式指定 `--tlsv1.2` 等参数,可绕过默认使用的较低版本 TLS,从而提升握手成功率。 #### 使用 IP 地址访问并伪造 Host 头 ```bash curl -k -H "Host: target.example.com" -H "X-Forwarded-For: 127.0.0.1" https://<target-ip>/flag ``` 某些 Web 应用依赖于 HTTP 请求头中的 `Host` 字段进行虚拟主机路由判断。即使使用 IP 地址访问,也需要将 `Host` 设置为目标域名,否则服务器可能返回 400 Bad Request 或其他错误。 #### 使用 openssl 工具手动测试 TLS 连接 ```bash openssl s_client -connect <target-ip>:443 -servername target.example.com ``` 该命令可用于调试 TLS 握手过程,并查看服务器返回的证书链信息。通过 `-servername` 参数指定 SNI 值,有助于识别是否因 SNI 不匹配导致连接失败。 --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AI小模型

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值