XCTF_Web_新手练习区:xff_referer

最新推荐文章于 2024-10-24 22:47:24 发布
最新推荐文章于 2024-10-24 22:47:24 发布
阅读量2.8k 收藏 8
点赞数 3
CC 4.0 BY-SA版权
分类专栏: CTF刷题 文章标签: XCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41617034/article/details/91802623
本文详细解析了X-Forwarded-For (XFF) 和 HTTP Referer 的作用及应用场景,通过实例展示了如何利用XFF绕过IP限制,以及如何设置Referer来满足特定来源要求,实现网络安全验证的突破。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

第八题:xff_referer

在这里插入图片描述

目标:

掌握有关X-Forwarded-For和Referer的知识

  • X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项
  • HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得一些信息用于处理

Writeup

(1)浏览目标网址后,出现:ip地址必须为123.123.123.123,好的,于是我抓包修改请求头添加:

X-Forwarded-For:123.123.123.123

在这里插入图片描述
注:最后一行数值后面需要空两行,这样才会执行成功
(2)发送后,又出现:必须来自https://www.google.com,好的,满足你~
抓包添加如下请求头发送:

X-Forwarded-For:123.123.123.123
Referer:https://www.google.com

在这里插入图片描述
达到目标:cyberpeace{af7966bf384e574b36471fdb26f1df05}

【网络安全 | CTF】攻防世界 xff_referer 解题详析
等风来
05-21 7356
(简称 XFF)是一个 HTTP 请求头部字段,它用于表示 HTTP 请求的客户端 IP 地址,尤其是当请求通过一个中介代理或负载均衡器时。该字段的值通常是一个逗号分隔的 IP 地址列表,其中第一个 IP 地址是最初连接到中介代理或负载均衡器的客户端 IP 地址。因为在这种情况下,服务器只能看到请求的中介代理或负载均衡器的 IP 地址,而无法直接获取客户端的真实 IP 地址。是另一个 HTTP 请求头部字段,它包含了当前请求的来源页面 URL 地址,即前一个页面的 URL 地址。
XCTF攻防世界练习-web题-xff_referer
果冻先生的专栏
09-30 2万+
0x08 XFF Referer 【题目描述】 X老师告诉小宁其实xffreferer是可以伪造的。 【目标】 掌握有关X-Forwarded-ForReferer的知识: (1)X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。xff 是http的拓展头部,作用是使Web服务...
10、XCTF xff_referer
山兔的博客
09-16 715
X老师告诉小宁其实xffreferer是可以伪造的。 拦截数据包,修改数据包。 X-Forwarded-For: 123.123.123.123 这个必须加在http的请求头。 得到: 必须来自https://www.google.com 再在请求头加上Referer: https://www.google.com 得到flag, 基础知识: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 简单地说,xff
xff_referer
weixin_63289925的博客
01-08 459
xff-referer
攻防世界-web-xff_referer
wuh2333的博客
04-16 993
攻防世界,xff, referer
攻防世界-web xff_Referer
m0_53533553的博客
09-11 2547
xff_Referer 扩展 xff Romote Address xff简称X-Forwarded-For X-Forwarded-For 是一个 HTTP 扩展头部,是用来识别通过HTTP代理,或,负载均衡方式,连接到Web服务器的客户端最原始的IP地址,的HTTP请求头字段。 主要是为了让 Web 服务器获取访问用户的真实 IP 地址。 那为什么 Web 服务器只有通过 X-Forwarded-For 头才能获取真实的 IP? Remote Address代表的是当前HTTP请求的远程地址,即HTTP
XCTF篇:Web (新手练习)
小明师傅博客
06-09 600
1.view_source F12调出,后复制 2.robots 这里打开robots.txt 可以查看不让爬虫爬的目录 3.backup 备份文件,后缀加 .bak 下载下来 4.cookie f12,查看加载的cookie,发现在文件里 访问查看 5.disabled_button f12把disabled删了 6.weak_auth bp爆破 7.simple_php 解释 === 会同时比较字符串的值类型 == 会先将字符串换成相同类型,再作比较,属于弱类.
攻防世界XCTFweb入门题知识点、进阶提高题Writeup
AugenStern的博客
08-21 1166
WriteUpXCTF-Web新手入门view_sourceget_postrobotsbackupcookiedisabled buttonsimple jsxff refererweak authwebshellcommand executionsimple_php高手进阶 XCTF-Web 2016 年全国大学生信息安全竞赛开始设立创新实践技能赛,采取的就是传统的 CTF 赛制。在《2016年全国大学生信息安全竞赛参赛指南》中主办方给出的竞赛内容相对全面,值得参考。 系统安全。 涉及操作系统
xctf新手练习https://adworld.xctf.org.cn/task/task_list?type=misc&number=1&grade=0
weixin_30438813的博客
05-23 3207
view source Q:无法用鼠标右键查看原码,怎么办?A:浏览器地址栏在网址前输入 view-source: 即可查看源码 get post Q:用 get 提交 a=1,用 post 提交 b=2A:url后加 ?a=1,用 hackbar 提交b=2 robots Q:robots.txtA:域名后加 robots.txt backup Q:找到网站的备份文件A:暴力域名。...
adworld.xctf-web-新手练习刷题
BROTHERYY的博客
05-07 1173
1.View Source 根据题目,就能猜到,此处是查看页面源码,在查看的过程中发现右键不能使用了,那就用F12吧~ 2.Robots 这题是考察Robots协议,访问的时候页面是一片空白,直接输入robots.txt 在地址栏输入robots.txt会得到f1ag_1s_h3re.php,尝试直接访问这个php文件。 3.Backup 对常用的备份文件名进行测试*.php~ or ...
xctf攻防世界web新手练习--write up
热门推荐
qq_43081170的博客
07-05 3万+
** 文章目录 ** view source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 打开题目后显示FLAG is not here,而且题目描述提示鼠标右键不管用了。这时想到F12键打开开发者工具,查看器可以查看页面源代码。F12----查看器直接得到答案。 get post **题目描述:**X老师告诉小宁同学HTTP通常使用两种请求方法,你...
XCTF篇(新手练习Webxff_referer
qq_43230425的博客
09-20 720
XCTF篇(新手练习Webxff_referer 题目: 打开场景后为: 根据题目提示,简单了解一下xffreferer: HTTP来源地址(referer,或HTTP referer) 是HTTP表头的一个字段,用来表示从哪儿链接到当前的网页,采用的格式是URL。换句话说,借着HTTP来源地址,当前的网页可以检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。 X-Forwarded-For(XFF) 是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的H
XCTF WEB xff_referer
无限迭代中......
06-30 1689
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5068 题解: 工具:Burp Suite 抓包 伪造IP地址 伪造响应
攻防世界----xff_referer
qq_45021843的博客
09-23 796
该题结合抓包、改包,考察XFFreferer,读者可躬身实践。我们下次再见喽。
XCTF Web 新手009:xff_referer
立志成为最会敲代码的dancer,最会locking的程序猿
04-01 222
题目: WP: 考察代理修改请求头的字段 于是用brup抓包,在http头加X-Forwarded-For: 123.123.123.123 在响应中看到必须来自谷歌 于是再次增加一条Referer: https://www.google.com 再次放包,在响应中得到flag! ...
攻防世界新手题——xff_referer
qq_62248023的博客
10-24 1237
X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。Referer是 HTTP请求头的一部分,用于指示当前请求是从哪个页面链接过来的,当浏览器向web服务器发送请求的时候,头信息包含Referer。比如我在www.abc.com里有一个www.def.com链接,那么点击这个www.def.com,它的头信息里有:Referer=http://www.abc.com题目描述。
XFFReferer(含实操)
slj1552560的博客
02-16 2万+
Part1:XFFReferer基本了解 关于xffreferer维基百科: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。简单地说,xff是告诉服务器当前请求者的最终ip的http请求头字段通常可以直接通过修改http
攻防世界(WEB) xff_referer
qq_54929891的博客
08-26 2192
首先做之前,先去了解一下xffreferer是什么东西 xff:X-Forwarded-For(header里面的一部分) 就是浏览器访问一个网站的ip地址 详细可以看另一位博主https://blog.youkuaiyun.com/weixin_43605586/article/details/100607877?utm_term=xff%E6%98%AF%E4%BB%80%E4%B9%88%E4%B9%88&utm_medium=distribute.pc_aggpage_search_result.
xctf web_php_include
最新发布
03-29
好的,用户需要了解XCTF竞赛中与PHP include相关的Web安全漏洞的解题思路。首先,我应该回忆PHP中的文件包含漏洞,尤其是include函数的不当使用可能导致的安全问题。用户提到的引用[4]中的代码显示,$lan变量直接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

1stPeak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值