本文介绍了如何通过修改HTTP请求头的X-Forwarded-For和Referer字段来伪造IP地址和浏览器信息,以解决攻防世界中的一道题目。在X-Forwarded-For字段添加特定IP,可以改变显示的IP;同时,通过篡改Referer字段可以伪装浏览器信息。通过抓包工具和重发数据包,成功伪造IP并获取到flag。
伪造ip和浏览器
先介绍两个概念: HTTP X-Forwarded-For和HTTP Referer
HTTP X-Forwarded-For :X-Forwarded-For 是一个 HTTP 请求header 的一部分,简称xff,用来表示 HTTP 请求端真实 IP。
X-Forwarded-For 请求头格式非常简单,就这样:
X-Forwarded-For: client, proxy1, proxy2
Referer :Referer 是 HTTP 请求header 的一部分,当浏览器向服务器发送请求的时候,头信息里有包含 Referer ,这个Referer中包含了我们访问所用的浏览器的信息。
同样的当我们抓包修改这两个值的时候也就伪造了ip和浏览器
这里以攻防世界的一道题为例进行介绍
平台:攻防世界
题目:xff_referer
提示:X老师告诉小宁其实xff和referer是可以伪造的
先打开环境
看到这里提示说ip必须是123.123.123.123
那就伪造一个ip
先抓包,将抓到的包放到重发器里面然后在请求头后面添加一个制造伪ip的头:X-Forwarded-For:123.123.123.123(注意这里X-Forwarded-For和:之间是没有空格的)
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
