看到题目Invisible,隐匿的,再看题目信息:隐藏IP来保护自己。接下来进入题目页(在实验机器中使用浏览器访问http://10.1.1.82),就是简单的两句话,Hide IP to protect yourself!,Perhaps you are safe now!
其实看到这里,有经验的同学应该就明白了,这道题出题人考察的地方可能就是伪造ip来源,代理相关的知识。我们知道的http头部信息里的几种关于ip的属性,HTTP_VIA =代理服务器IP、HTTP_X_FORWARDED_FOR=真实ip还有HTTP_CLIENT_IP。我们直接开启brupsuit抓包,把抓取的包发送到repeater,利用重放功能修改http头部信息。先来试试X-forwarded-for
X-forwarded-for(XFF)是用来识别,通过HTTP代理或负载均衡方式连接到Web服务器的,客户端最原始IP地址的HTTP请求头字段。在代理转发及反向代理中,经常使用X-forwarded-for字段。
没有成功,再来试试X-client-ip
X-client-ip用来获取当前请求的客户端ip地址。
还是不行,最后再看via