2016X-NUCA联赛web真题集

zaqzaq 2024-04-21 20:27:03 1164 0


看到题目Invisible,隐匿的,再看题目信息:隐藏IP来保护自己。接下来进入题目页(在实验机器中使用浏览器访问http://10.1.1.82),就是简单的两句话,Hide IP to protect yourself!,Perhaps you are safe now!

其实看到这里,有经验的同学应该就明白了,这道题出题人考察的地方可能就是伪造ip来源,代理相关的知识。我们知道的http头部信息里的几种关于ip的属性,HTTP_VIA =代理服务器IP、HTTP_X_FORWARDED_FOR=真实ip还有HTTP_CLIENT_IP。我们直接开启brupsuit抓包,把抓取的包发送到repeater,利用重放功能修改http头部信息。先来试试X-forwarded-for


X-forwarded-for(XFF)是用来识别,通过HTTP代理或负载均衡方式连接到Web服务器的,客户端最原始IP地址的HTTP请求头字段。在代理转发及反向代理中,经常使用X-forwarded-for字段。


没有成功,再来试试X-client-ip

X-client-ip用来获取当前请求的客户端ip地址。


还是不行,最后再看via


分类:WEB
image
作者:zaqzaq

1

提交

0

收入

相关WriteUP

  • sqli-0x1 Writeup

    ***收费WriteUP请购买后查看,VIP用户可免费查看***

    • WEB
    • 1年前
  • [HackINI-2022] lfi WriteUp

    ***收费WriteUP请购买后查看,VIP用户可免费查看***

    • WEB
    • 1年前
  • just-work-type

    ***收费WriteUP请购买后查看,VIP用户可免费查看***

    • WEB
    • 1年前
  • Fetus Web

    ***收费WriteUP请购买后查看,VIP用户可免费查看***

    • WEB
    • 8月前
  • post-the-get

    ***收费WriteUP请购买后查看,VIP用户可免费查看***

    • WEB
    • 1年前
问题反馈