【CTF-web】修改请求头(XFF)

最新推荐文章于 2025-10-11 00:00:00 发布
原创 最新推荐文章于 2025-10-11 00:00:00 发布 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络协议 #网络安全

文章讲述了在CTF挑战中,通过修改X-Forwarded-For(XFF)头来伪造客户端IP,实现本地管理员登录的过程。XFF头通常用于标识代理服务器连接的客户端原始IP,技术利用了其可伪造性。

题目链接:https://ctf.bugku.com/challenges/detail/id/79.html
在这里插入图片描述
随意输入后可以看到需要本地管理员登录,得知这是一道需要修改XFF头的题。
XFF即X-Forwarded-For,该请求标头是一个事实上的用于标识通过代理服务器连接到 web 服务器的客户端的原始 IP 地址的标头。我们可以通过伪造XFF头来假装本地登录,即在request头中加入X-Forwarded-For: 127.0.0.1

网络安全 | CTF】攻防世界 xff_referer 解题详析
等风来
05-21 7558
(简称 XFF)是一个 HTTP 请求头部字段,它用于表示 HTTP 请求的客户端 IP 地址,尤其是当请求通过一个中介代理或负载均衡器时。该字段的值通常是一个逗号分隔的 IP 地址列表,其中第一个 IP 地址是最初连接到中介代理或负载均衡器的客户端 IP 地址。因为在这种情况下,服务器只能看到请求的中介代理或负载均衡器的 IP 地址,而无法直接获取客户端的真实 IP 地址。是另一个 HTTP 请求头部字段,它包含了当前请求的来源页面 URL 地址,即前一个页面的 URL 地址。
CTF | WEB】003、攻防世界WEB题目之xff_referer
韩非雨的博客
08-14 1819
XFF用于追踪客户端的真实 IP 地址,特别是在请求经过多个代理服务器时。Referer用于标识当前请求页面的来源页面,帮助服务器理解用户的访问路径。这两个头字段在网络安全和流量分析中都非常重要。
CTF攻防世界WEB精选基础入门:xff_referer
最新发布
weixin_46417756的博客
10-11 362
本文摘要: XFF(X-Forwarded-For)用于获取经过代理服务器后的客户端真实IP,格式为"X-Forwarded-For:客户端IP"。Referer用于标识请求来源网址。解题时需使用BURP抓包,先通过XFF发送指定IP地址123.123.123.123,根据页面提示再使用Referer发送指定URL,最终获取flag。
ctf-攻防世界-webxff_referer
一只菜鸟的博客
11-08 1057
首先看提示:xff和referer是可以被伪造的,看来是要伪造请求头 打开环境,显示ip必须为123.123.123.123。既然已经提示了伪造xff,那就是验证xff了。 burp抓包,右键send to repeater,在请求头中添加X-Forwarded-For:123.123.123.123,放包。 发现提示必须来自https://www.google.com,那在请求头再添加Referer:https://www.google.com,则出现flag ...
CTF-攻防世界web新手入门篇
weixin_45923850的博客
04-14 1万+
CTF练习题目
CTF web入门——HTTP头相关的----修改请求头、伪造Cookie类题目——Bugku Web题目详细题解
热门推荐
日熙的博客
07-25 6万+
题目一:Bugku 程序员本地网站 1.打开题目显示如下: 题目二:Bugku 管理员系统 题目三:XCTF xff_referer
CTF Web学习(一)----基础篇及头文件修改、隐藏
网络猿的博客
01-10 4524
CTF Web学习 CTF Web学习(一):基础篇及头文件修改、隐藏 CTF Web学习(一):基础篇及头文件修改、隐藏 文章目录CTF Web学习前言一、直接查看源代码(一)F12看代码1、bugku web1题2、bugku web2题二、头文件、属性、隐藏等(一)input限制输入长度1、修改maxlength属性(二)修改头文件1、修改User Agent属性2、修改Accept-Language属性3、修改cookie4、头文件里藏flag5、域名解析(三)各种隐藏1、302隐藏2、js隐藏
ctf-web
weixin_43150428的博客
11-04 3042
ctf-web 信息搜集 认证绕过 SQL注入 文件上传 文件包含 PHP代码审计 信息搜集 源码泄露 页面源代码 敏感文件泄漏 备份文件(.swp/.bak/.beifen/~/phps等) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MGonEuLW-1604453612546)(https://i.loli.net/2020/11/02/kUboAxLhtRvD85z.png)] 数据库(mdb) 压缩包(zip/tar.gz//DS_Stor
CTF---Web---SQL注入---04---F12network+XXF伪造+sqlmap跑文件
qq_22160557的博客
07-29 1377
文章目录前言一、题目描述二、解题步骤1、信息隐藏2、XXF伪造3、sqlmap文件注入三、总结 前言 题目分类: CTFWeb—SQL注入—04—F12network+XXF伪造+ sqlmap跑文件 一、题目描述 题目:Simple_Calc_1,简单计算器 提示:XFF伪造 二、解题步骤 1、信息隐藏 Step1:F12—>查看network,刷新一下,就可以看到/backend/目录, 提示:{“success”:true,“count”:2},是访问次数 2、XXF伪造 Step2:其
CTF---Web---SQL注入---07---注入点+level
qq_22160557的博客
07-31 623
文章目录前言一、题目描述二、解题步骤1、寻找注入点2、请求包保存3、sqlmap爆破三、总结 前言 题目分类: CTFWeb—SQL注入—07—注入点+level 一、题目描述 题目:添加备注 二、解题步骤 1、寻找注入点 Step1:本题在常规注入的地方,是无法注入的:但是这是下面有个添加备注的地方 2、请求包保存 Step2:添加备注后,抓包后,保存为txt文件 3、sqlmap爆破 Step3:丢到sqlmap中跑就行了。 注入点为id,注入类型为以时间为基础的时间盲注。 Step4:爆
CTF做题笔记--XFF——Referer
Hasur的博客
03-02 867
当然,在进行xff伪造的时候,我们使用的是X-Forwarded-For这个词语,而不是直接xff,缩写不能直接用,referer是可以直接使用的。这道题目主要是考察对burpsuite的使用,需要将截下来的包发送到Repeater,在里面伪造xff以及referer的请求。讲完这些再来谈谈这道题是怎么实现的,在我们进入主页面的时候,出现下图所示的界面。(这里需要注意的是千万别把这段话放在最后面,不然在send的时候会发现跑不了)referer的作用则是告诉服务器网页是从哪个页面页面链接过来的zh。
修改HTTP代理
04-08
可以直接修改本地的http代理,不需要进入到网页设置中,方便了操作。
CTF攻防世界web题解题思路XFF-REFERER
m0_63687631的博客
12-25 3366
1.打开网页 2.然抓个包改变下ip 3.用X-Forwarded-For改变ip,如图: 4.因为要重复使用所以要用repeater,然后发送 5. 然后是这样,点击render 6.最后输入referer 7.点render,可得到flag 知识点: 1.ip地址可以用,X-Forwarded-For改 2.referer是就是来源网站。 ...
izeroo-ctf xff+User-Agent 修改 HTTP头相关
NLost
02-23 2263
打开页面就是简单的一句话, it doesnt come from internal ip addr. 用谷歌翻译后:并不是来自于内部的ip地址。 先查看源码,并没有什么发现,那么就只有从理解这句话的意思入手了。 内部ip很容易便想到主机ip 127.0.0.1,在http中 我们可以修改xff设置访问IP地址, 直接bp抓包,添加 X-Forwarded-For:127.0.0.1, 而后又说 u are not using our ‘Cqust Web Browser’ ,意思是没用Cqust W
CTF-web-xff,referer 知识点;
半岛铁盒的博客
12-01 1192
xff全称为X-Forwarded-Forxff在一般客户端的HTTP请求中是不存在的,但是当经过代理服务器时,代理服务器就会加上一个xff,其内容为客户端的IP地址,如果后面还有代理服务器,那么会在后面依次加上上一个代理服务器的IP,所以这就给了我们伪造IP的可能,如果我们在客户端发送HTTP请求时加上一个XFF,并且将其地址指向另一个IP,那么服务器就会将我们主机当成一个代理服务器,而把我们写的IP当成客户端。 具体使用:X-Forwarded-For: referer是HTTP请求中的一部分,代表着
CTF入门--http请求头
Quartz's Blog
09-07 5322
这个也是很常见的操作,可能只能称为计算机使用技巧吧 通过修改referer字段,伪装自己从何而来初探题目 这里是要下载一个小文件,然而却被过滤了 显示如上图的内容开始分析http协议,是当前最多使用的互联网协议吧, 其中这就是请求头中用到的 两个: Referer: 作用: 提供了Request的上下文信息的服务器,告诉服务器我是从哪个链接过来的,比如从我主页上链接到一个朋友那里,
使用curl 命令 伪造IP,修改xff和referer
weixin_56301399的博客
03-23 9502
原理: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的 curl介绍: curl 是常用的命令行工具,用来请求 Web 服务器。它的名字就是客户端(client)的 URL 工具的意思。 它的功能非常强大,命令行参数多达几十种。如果熟练的话,完全可
xff(x-forwarded-for)介绍,某些ctf题目中的利用
09-07 9136
IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造 XFF字段 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。通俗来说,就是浏览器访问网站的IP。一般格式: X-Forwarded-For: clien...
CTF杂项之文件头损坏/缺失(以vim为例)
weixin_44268185的博客
06-11 3936
遇到这类的问题我们首先应该用16进制打开文件 这里用vim为例 我们可以看到这张图片的文件头发生了损坏,此时我们在按上述方式打开一张jpeg图片,看一下他的文件头应该是什么.此处直接贴上来jpeg的文件头是ffd8 ffe0我们按i进入命令模式将文件头改过来此时在输入:%!xxd -r把文件改回二进制格式然后输入:wq保存并退出文件至此文件就修好了,让我们看一下结果...
PHP在CTF-Web挑战中的实战应用技巧
标题和描述中提到的知识点是关于在Web环境中使用PHP编程语言进行CTF(Capture The Flag)挑战的介绍。...在CTF-Web-Challenge的环境中,参赛者将有机会通过实战演练这些技术,提升自己的安全技能。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值