攻防世界--WEB题之xff_referer

最新推荐文章于 2024-10-24 22:47:24 发布
最新推荐文章于 2024-10-24 22:47:24 发布
阅读量546 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF学习--刷题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45786729/article/details/114324583
本文介绍了一道网络安全题目,通过使用Burpsuite工具伪造X-Forwarded-For与Referer来解决。详细步骤包括抓包、修改XFF及Referer,并通过观察响应找到flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题描述:

难度系数:两颗星
题目来源: Cyberpeace-n3k0
题目描述:X老师告诉小宁其实xff和referer是可以伪造的。
题目场景:
点击获取在线场景
题目附件: 暂无

知识点:

xff:X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

referer:Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,

工具:

Burp suite

解题步骤:

  1. 打开题目所给的网站,我们可以看到这样的信息。接下来的思路就是进行抓包,修改相应的信息。
    在这里插入图片描述
  2. 抓包后,点击proxy进行查看,再点击headers进行修改,点击add添加‘X-Forwarded-For’,值为‘123.123.123.123’。添加后点击‘Action’,再点击‘send to repeater’。
    在这里插入图片描述
  3. 点击repeater,再点击send,进行查看response,我们会发现另一个线索。看来不光要修改X-Forwarded-For,还需要修改referer。
    在这里插入图片描述
  4. 点击proxy,在原来的基础之上,添加一个referer。添加后,就重复2、3步骤中的步骤进行查看response。
    在这里插入图片描述
  5. 我们在其中会发现,flag就在其中。提交,正确。
    在这里插入图片描述
【网络安全 | CTF】攻防世界 xff_referer详析
等风来
05-21 7341
(简称 XFF)是一个 HTTP 请求头部字段,它用于表示 HTTP 请求的客户端 IP 地址,尤其是当请求通过一个中介代理或负载均衡器时。该字段的值通常是一个逗号分隔的 IP 地址列表,其中第一个 IP 地址是最初连接到中介代理或负载均衡器的客户端 IP 地址。因为在这种情况下,服务器只能看到请求的中介代理或负载均衡器的 IP 地址,而无法直接获取客户端的真实 IP 地址。是另一个 HTTP 请求头部字段,它包含了当前请求的来源页面 URL 地址,即前一个页面的 URL 地址。
【CTF | WEB】003、攻防世界WEB目之xff_referer
韩非雨的博客
08-14 1581
XFF用于追踪客户端的真实 IP 地址,特别是在请求经过多个代理服务器时。Referer用于标识当前请求页面的来源页面,帮助服务器理解用户的访问路径。这两个头字段在网络安全流量分析中都非常重要。
攻防世界新手——xff_referer
qq_62248023的博客
10-24 1222
X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。Referer是 HTTP请求头的一部分,用于指示当前请求是从哪个页面链接过来的,当浏览器向web服务器发送请求的时候,头信息包含Referer。比如我在www.abc.com里有一个www.def.com链接,那么点击这个www.def.com,它的头信息里有:Referer=http://www.abc.com目描述。
攻防世界WEB新手入门10 xff_referer
qq_39787312的博客
08-05 508
攻防世界WEB新手入门10 xff_referer目信息W功能快捷键合理的创建标,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 目信息 W 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了
攻防世界XCTF:web新手练习区⑧/xff_referer
其名为碰
11-09 1439
目 解 1.进入后看到显示 这里我们使用火狐浏览器的一个插件 然后使用插件改变ip 页面又提示 此时使用burp suite抓包 设置好浏览器代理127.0.0.1:8080 将抓到的包送到repeater 然后在最后增加一条Referer: https://www.google.com 点击go即可在response得到FLAG ...
攻防世界-web xff_Referer
m0_53533553的博客
09-11 2537
xff_Referer 扩展 xff Romote Address xff简称X-Forwarded-For X-Forwarded-For 是一个 HTTP 扩展头部,是用来识别通过HTTP代理,或,负载均衡方式,连接到Web服务器的客户端最原始的IP地址,的HTTP请求头字段。 主要是为了让 Web 服务器获取访问用户的真实 IP 地址。 那为什么 Web 服务器只有通过 X-Forwarded-For 头才能获取真实的 IP? Remote Address代表的是当前HTTP请求的远程地址,即HTTP
攻防世界 web xff_referer
Kni9hT's Blog
03-01 704
真棒!每个web都能学点新东西,而且感觉很nb的样子。不像pwn,wtnl… 本涉及: XFF: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 referer: HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer告诉服务器该网页...
攻防世界 web get_post HackBar下载 xff_referer webshell 菜刀下载 wp
Rashu99's blog
06-12 1233
get_post 谷歌浏览器的hackbar 不用license的下载地址 https://github.com/cnhkkat/ctf_tools.git hackbar 下载完解压 打开浏览器的扩展程序 开发者模式 加载已解压的程序 返回到页面按F12出现HackBar xff_referer X-Forwarded-For: 123.123.123.123 XFF:http请求端的真实IP Referer: https://www.google.com Referer告诉服务器“我”来自哪
黑客攻防webxff_referer
Zeker62的博客
08-14 241
本道主要考察的是对HTTP报文的伪造方法对两个变量X-Forwarded-ForReferer的理解 The X-Forwarded-For (XFF) HTTP header field is a common method for identifying the originating IP address of a client connecting to a web server through an HTTP proxy or load balancer.也就是告诉服务器这个最原始的IP地址
攻防世界-web-xff_referer
wuh2333的博客
04-16 990
攻防世界xff, referer
XFFReferer(含实操)
热门推荐
slj1552560的博客
02-16 2万+
Part1:XFFReferer基本了解 关于xffreferer维基百科: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。简单地说,xff告诉服务器当前请求者的最终ip的http请求头字段通常可以直接通过修改http
攻防世界(WEB) xff_referer
qq_54929891的博客
08-26 2190
首先做之前,先去了解一下xffreferer是什么东西 xff:X-Forwarded-For(header里面的一部分) 就是浏览器访问一个网站的ip地址 详细可以看另一位博主https://blog.youkuaiyun.com/weixin_43605586/article/details/100607877?utm_term=xff%E6%98%AF%E4%BB%80%E4%B9%88%E4%B9%88&utm_medium=distribute.pc_aggpage_search_result.
攻防世界-WEBxff_referer
wlw1275178332的博客
03-18 422
请求刚从client1中发出时,XFF是空的,请求被发往proxy1;通过proxy1的时候,client1被添加到XFF中,之后请求被发往proxy2;通过proxy2的时候,proxy1被添加到XFF中,之后请求被发往proxy3;通过proxy3时,proxy2被添加到XFF中,之后请求的的去向不明,如果proxy3不是请求终点,请求会被继续转发。映入眼帘的就是IP地址,那根据上面我们所了解的,这应该就是我们要构造的xff的IP地址。使用bp抓包,在头部加上 xff(注意大写字母),然后放行。
攻防世界 web入门 xff_referer (伪造请求)
weixin_45774059的博客
06-04 513
使用 burpsuite 抓包 首先 ip 要是 123.123.123.123 添加 头部:X-Forwarded-For: 123.123.123.123 然后又要 Referer: https://www.google.com
攻防世界 WEB xff_referer
weixin_45399261的博客
10-31 145
进行抓包 在请求头添加X-Forwarded-For: 123.123.123.123Referer: https://www.google.com 放包 得到flag
攻防世界xff_referer解析
chlet的博客
10-30 479
攻防世界xff_referer解析 获取场景后发现,要求IP为123.123.123.123; 可以使用火狐浏览器的X-Forwarded-For插件; 这里使用Burpsuit; 抓到请求信息; 在host后添加X-Forwarded-For:123.123.123.123; 在重发器中发送; 发现有了另一个限制; 要求来自谷歌; 在X-Forwarded-For:123.123.123.123后面加上Referer:https://www.google.com; 得到flag; cyberpeac
攻防世界web新手关之xff_referer
weixin_45746283的博客
11-16 2186
攻防世界web新手关之xff_referer
攻防世界15:xff-referer
weixin_49765221的博客
04-19 935
构造协议头
攻防世界xffrefereer
m0_73303597的博客
11-09 938
紫铜
攻防世界web新手答案
最新发布
02-26
### CTF Web 新手目解答 #### weak_auth 目解析 面对弱验证类型的挑战,通常意味着存在某种形式的身份认证漏洞。在这种情况下,页面上没有显示验证码,这表明可以通过自动化工具尝试暴力破解用户名密码组合[^...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值