IP伪造

TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造

XFF字段

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。通俗来说,就是浏览器访问网站的IP。一般格式:

X-Forwarded-For: client1, proxy1, proxy2, proxy3

左边第一个是浏览器IP,依次往右为第一个代理服务器IP,第二个,第三个(使用逗号+空格进行分割)

伪造方式
1:通过firefox插件x-forwarded-for直接改造

2:用burp抓包,发送到repeater模块进行增加,修改(ps:referer也可以修改
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。)

3:在repeater模块中的Header中修改

ctf中利用:
比如有些题目:
1:最简单的就是攻防世界的xff_referer
,让我们伪造xff和referer,burp中repeter模块修改了题目指定的xff和referer
,然后中go一下就可以得到flag
:2:还有我在网上某一个博客中看到的一道题:
名字叫:are you in class
提示:“在不在学校主要看Ip,192的某内网段”
这道题涉及的其他知识不提,但是这道题需要xff伪造,然后才能做下去。
如果想看这道题具体内容,可以点下面一个链接
题目完整解析

3:xff注入
通过修改可以判断是否存在注入
xff注入

其他的我就不太了解了

xff(x-forwarded-for)介绍,某些ctf题目中的利用相关推荐

  1. CTF题目中遇到的PHP考点总结(一)

    介绍 本篇文章主要总结了我在写ctfshow题目中遇到的关于PHP的考点.因为只总结知识点和考点会比较空洞,也不容易理解,所以我都是通过题目来总结考点,这样的话比较容易理解. PHP函数特性相关 一. ...

  2. CTF题目中关于图片写隐

    在CTF中关MISC类型的题很多,接下来我们来看一个图片写隐的例子 首先在网页上下载我们的题目,会发现是一个未知的文件 然后我们用工具打开会发现是一段乱码 经过查找我们大概能够确定这是一个图片文件或者 ...

  3. ctf xor题_从一道CTF题目谈PHP中的命令执行

    原创 Xenny 合天智汇 快睡的时候,打开B站发现有位用户留言,大意就是让我帮忙看一道题,正好当时有空,于是就打开了他发的链接,代码如下 很明显是一道PHP代码审计的题目,而且只需要绕过第三行的if ...

  4. [网络安全自学篇] 三十一.文件上传之Upload-labs靶场及CTF题目01-10(四)

    这是作者的系列网络安全自学教程,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了编辑器漏洞和IIS高版本文件上传漏洞,包括FCKeditor.eWeb ...

  5. CTF Crypto中涉及的AES题目

    CTF Crypto中涉及的AES题目 单独涉及AES_ECB模式 单独涉及AES_CBC模式 ProblemProblemProblem AnalysisAnalysisAnalysis Solvi ...

  6. ctf 监听端口_从一道ctf题目学到的绕过长度执行命令姿势 - 华域联盟|chu

    参考:https://blog.csdn.net/calmegm/article/details/80874902 https://www.leavesongs.com/SHARE/some-tric ...

  7. angr-example(解CTF题目)

    0x0 废话 emmm,总之就是官方给的examples啦.持续更新... 链接:https://docs.angr.io/examples 0x1 defcamp_r100 angr在CTF中最常见 ...

  8. 安卓逆向从入门到嗝屁之另一道CTF题目

    小伙伴发了一道安卓的CTF题目,有空就看了下: 首先,这次就先不装了,开个模拟器卡的一P,androidkiller.gda等无法打开,jeb正常打开(当然dex2jar打开dex文件,再用jd-gu ...

  9. 从一道CTF题目学习Tanner图和LDPC

    概述   Tanner图是由Mr Tanner在1981在论文中提出来的,是研究低密度校验码的重要工具.   Tanner图表示的是 LDPC 的校验矩阵.Tanner图中的循环是由图中的一群相互连接 ...

最新文章

  1. 【FFmpeg】FFmpeg 帮助文档使用
  2. python android自动化元素定位_linux下Appium+Python移动应用自动化测试实战---3.手把手教你定位元素编写测试用例...
  3. 4种动态加载JS的方法
  4. flex布局应用与踩坑
  5. 个人计算机有控制器和运算器吗,cpu是由控制器和运算器组成的对还是错
  6. Java类名.方法和变量
  7. 解决mac 系统软件被阻止载入点允许没反应的问题
  8. 2017-2018-1 20155317《信息安全系统设计基础》 实验五 通讯协议设计
  9. 在Mac环境下查看附近路由器的MAC地址
  10. HDU 4475 Downward paths (推公式)
  11. 外部h5网页跳转微信指定页面
  12. emem今天再记一道套路whalectf pwn3
  13. ACRUSH 楼教主的回忆录
  14. 2022高级Android笔试总结,记录下我磕磕碰碰的三个月找工作经历
  15. 3DMAX软件可以运用到哪些行业?次世代游戏建模怎么样?
  16. powermill2020错误代码1603_max2020安装提示1603
  17. 逻辑思维:5对夫妇握手
  18. ffmpeg各种操作处理
  19. 《计算几何》学习笔记
  20. 官网实例详解-目录和实例简介-keras学习笔记四

热门文章

  1. 获取双卡双待手机信息
  2. Uni-app Android 离线打包集成 uni-push(个推)消息推送
  3. packet tracer安装
  4. 排列组合练习题(2)马路上有编号1,2,3,……,10个路灯,为节约用电又看清路面,可以把其中的三只灯关掉,但又不能同时关掉相邻的两只或三只,在两端的灯也不能关掉的情况下……
  5. 开机提示CPU Fan Error解决方法
  6. 技术文章里那么多的问号与叹号
  7. PostgreSQL中函数json_populate_recordset的参数null::myrowtype如何使用
  8. RFC6749-OAuth2.0
  9. KFold与StratifiedKFold
  10. 十几年的学海生涯,我还不会提问_提问的智慧(转)