墨者学院 - IP地址伪造(第1题)

最新推荐文章于 2024-08-02 16:55:48 发布
最新推荐文章于 2024-08-02 16:55:48 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: Mozhe 文章标签: ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42357070/article/details/81416533
版权
本文介绍了通过尝试弱密码和伪装IP地址的方式绕过登录限制的方法。使用了火狐浏览器和X-Forwarded-ForHeader工具来伪造IP,并通过Burp抓包添加X-Forwarded-For字段进一步实现伪装。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

猜用户密码

得到 用户:admin

       密码:admin

登陆时提示 只允许在服务器上登陆

则需要伪装ip地址

方法一:需要工具 
                    : 火狐浏览器
                    :X-Forwarded-For Header

使用X-Forwarded-For Header进行伪造

输入常见弱密码 admin admin
即可


方法2:

输入账号密码, admin  admin

使用burp伪造IP登陆   抓包添加字段
                X-Forwarded-For:127.0.0.1
获得key

学院——浏览器信息伪造
Lollipop_zhi的博客
01-13 2832
启动靶场 注意提示信息。 众所周知,数据包里有个user-agent字段,是客户浏览器名称,所以根据提示,我们需要修改数据包的相应信息 启动burpsuite,事先要确定浏览器和burpsuite的端口是否一致 点击链接,开始抓包 开始修改,根据靶场提示,我们可以查一下NetType。根据这篇文章提示,把user agent字段修改为Mozilla/5.0 (iPhone; CPU iPhone OS 8_0 like Mac OS X) AppleWebKit/600.1.4 (K..
学院-X-Forwarded-For注入漏洞实战
weixin_42939822的博客
03-27 6482
学院-X-Forwarded-For注入漏洞实战
学院-IP地址伪造(1)
JimWu的博客
09-04 536
IP地址伪造(1) 难易程度:★★ 目类型:网络安全 使用工具:FireFox浏览器、burpsuite 1.打开靶场,发现需要用户名和密码登录。 2.尝试常用的弱口令登录,最后知道用户名和密码都为admin。 但却给提示说只允许服务器上登录。 根据目的提示,了解了环回地址。 loopback地址即是loopback接口上设置的地址,该地址用于标示设备本身。A类地址127.0.0.0被...
学院 IP地址伪造(1)
liulala987的博客
08-02 226
利用bp抓包伪造X-Forworded-For:127.0.0.1 发包得到key。抓包弱口令爆破得到 账号admin 密码admin。登录后发现只允许在服务器上登录。打开靶场发现是一个登录界面。
- IP地址伪造(1)
吃肉唐僧的博客
07-18 448
正常登录,会提示需要本地服务器才可以登录 推断做了ip地址校验 用bp抓包 X-Forwarded-For: 127.0.0.1 伪装代理ip地址 密码猜测为admin,admin 成功
IP地址伪造(1)
qq_36933272的博客
09-01 716
利用弱口令尝试登陆,用户名密码都用admin ,发现能跳转但提示只能在服务器登陆。 利用burp截取发送登陆请求的包,send to repeater 。 伪造ip地址,x-forwarded-for:127.0.0.1,下面空一行。 go发送包,得到key ...
学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2)
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(1)、PHP代码分析溯源(第2)、PHP逻辑漏洞利用实战(1)、SQL手工注入漏洞测试(Access数据库)
学院】X-Forwarded-For注入漏洞实战
hehigoxqc606的博客
08-31 1017
学院】X-Forwarded-For注入漏洞实战 漏洞原理: 利用HTTP头部注入、sqlmap注入等方式,爆破数据库表中的用户账号和密码,以登陆系统,很有可能对系统有下一步的破坏。 实战过程: 第一步:访问链接 第二步:抓取数据包,可以看到登陆失败,并提示登陆的IP地址 第三步:利用X-Forwarded-For头伪装127.0.0.1进行测试 第四步:复制RAW文件到xff.txt中,这里构造的X-Forward...
学院——投票系统程序设计缺陷分析
Lollipop_zhi的博客
01-13 2424
启动靶场,给ggg投票,第二次投票不成功,猜测有对IP地址的获取(看页面源代码也可以知道) 可以搜索一下php是怎么获取IP地址的。众所周知,可以通过XFF来伪造IP地址。简单地说,XFF是告诉服务器当前请求者最终ip的http请求头字段,通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip。XFF的一些理解 抓包,进行下图操作 如下图 如下图,数字范围自己定,只要能得第一,不需要太多 开始攻击 看一下返回的数据包,errorcode..
学院靶场web安全入门
weixin_42393944的博客
04-06 741
一.uWSGI 漏洞复现(CVE-2018-7490)——路径遍历 漏洞详情说明:https://www.anquanke.com/vul/id/1124864 (通过编号去查找此漏洞的详情) DETAILS ------- The documentation of uWSGI states that the php-docroot option is used to jail our p...
在线靶场--网络安全2星-IP地址伪造(1)
weixin_42079912的博客
07-19 562
点开靶场地址,发现要进行登录,根据意得知是弱口令,于是使用账号admin,密码admin登录,发现登录进去了,但是不能访问,要特定地址才可以。于是浏览器挂代理,打开burp suite进行抓包。抓到数据包后,将数据包send to Repeater,数据包中添加一句话伪造ip地址X-Forwarded-For: 127.0.0.1(本地机)。然后点击GO发送,即可得到key。 另一种方法:直接...
学院--来源页伪造
weixin_44382289的博客
09-04 328
首先我们先了解一下http头的referer; Referer 是 HTTP 请求header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里有包含 Referer 。比如我在www.google.com 里有一个www.baidu.com 链接,那么点击这个www.baidu.com ,它的header 信息里就有:Referer:http://www.goo...
学院——网络安全——来源页伪造
wsmwc的博客
09-19 209
来源页伪造
学院-入门级-浏览器信息伪造-小白必看(超详细)
kitiu666的博客
08-01 1816
2020年8月1日,第一次开始网络安全试验,本来很简单的东西,要做了一个小时左右,但收获良多,不多bb开始 准备需要: 1.windows系统(肉机就行) 2.下载一个BurpSuite软件(简称BP,用来抓包,代理等作用,我也是第一次了解这软件,感觉很牛逼。) 1.看下我们要伪造信息的网站(小白第一次接触可能不知道靶场的入口,所以我写得巨详细 ,如果过分了请见谅) 点击后会提示,网页只有在IPhone手机的2g网络下才能查看,显然我们用window是没法子的,所以我们哟啊通过bp抓包,然后修改头部信息
学院-IP地址伪造(第2)
JimWu的博客
09-04 658
IP地址伪造(第2) 难易程度:★ 目类型:网络安全 使用工具:FireFox浏览器、burpsuite 1.打开靶场,看到需要用户名密码登录。 2.尝试常用的弱口令,最终知道用户名和密码都为test。 3.登录后发现只允许台湾的ip登录。 4.打开Burpsuite,再登录一次,截包。 在网上随便搜一个台湾的ip地址。 在下方加入X-Forwarded-For:台湾ip。 forwar...
火狐浏览器伪造任意IP地址
热门推荐
baokx的专栏
03-25 1万+
FF浏览器>附加组件>获取附加组件>搜索"Modify Headers">安装并重启FF浏览器 (顺便秀皮肤)   3.安装成功,进入设置     4.Add>Start 成功截图:
伪造 IP 地址的原理和防范措施
weixin_43578304的博客
08-26 5179
在数字化时代,网络安全是至关重要的话。其中,伪造 IP 地址是一种可能导致网络攻击和欺诈的技术手段。这里将深入探讨伪造 IP 地址的原理以及如何采取措施来防范这种风险。
者网络安全——ip地址伪造
weixin_53980169的博客
07-22 3512
者靶场测试之ip地址伪造
虚假IP地址攻击如何防范?虚假ip地址攻击怎么解决
白帽子佳奇的博客
12-05 1481
此外,引入更安全的认证机制,如基于密钥的SSH认证和多因素认证,可以显著提高系统的安全性。例如,防火墙可以配置为仅允许来自已知、可信网络地址的入站连接,同时拦截所有未经授权的外部访问尝试。使用如SSL/TLS这样的加密协议,不仅能防止数据被中间人截取,还能通过证书和密钥确保通信双方的身份。特别是对于那些容易受到反射型DDoS攻击的服务,如DNS和NTP服务器,禁用UDP可以大幅度提高它们的安全性。内存缓存服务器,如Redis或Memcached,通常用于提高应用性能,但它们也可能成为攻击的目标。
学院WebShell文件上传漏洞分析溯源(1)
最新发布
04-03
学院的相关目中提到的内容涉及多个方面,包括 MIME 类型篡改、禁用 JavaScript 绕过前端验证以及利用后缀名规避检测等技术[^1]。 --- #### 漏洞成因分析 文件上传漏洞的主要原因在于服务端对上传文件的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值