攻防世界xtf_referer

点击进入

xtf_referer了解

X-Forwarded-For 是一个 HTTP 扩展头部,主要是为了让 Web 服务器获取访问用户的真实 IP 地址

在一些大型网站中,来自用户的HTTP请求会经过反向代理服务器的转发,此时,服务器收到的Remote Address地址就是反向代理服务器的地址。

在这样的情况下,用户的真实IP地址将被丢失,因此有了HTTP扩展头部X-Forward-For。

当反向代理服务器转发用户的HTTP请求时,需要将用户的真实IP地址写入到X-Forward-For中,以便后端服务能够使用。

由于X-Forward-For是可修改的,所以X-Forward-For中的地址在某种程度上不可信。

####原理

X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项

HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的

进入主题

看题

题目要求是ip地址必须为123.123.123.123

根据题意我们需要自己把xtf改为123.123.123.123

这里介绍做这个题的工具,Firefox、Burpsuit

工具介绍

Firefox就是火狐浏览器,Firefox对于安全攻防开发hi是挺友好的,可以安装很多插件,网页源代码也方便查看。

Burpsuit是经典的网页抓取工具(抓包),Burpsuit功能强大,详情用法请点击,或是百度Burpsuit用法。

步骤

打开burpsuit对题目页面进行抓包

Ctrl+A进行全选,Ctrl+R把抓取内容移到Reperter进行处理

如图

添加X-Forwarded-For: 123.123.123.123(添加在末尾也可以,无限制)

题意说访问路径要从谷歌来,所以,我们再添加访问路径,既添加referer:https://www.google.com

如图,就欺骗成功得到了flag