首页 > 其他分享 >不止XFF

不止XFF

时间:2023-10-11 22:45:41浏览次数:37  
标签:127.0 zh Forwarded 不止 0.1 IP XFF Client

昨天做了一道非常简单的新生赛CTF题目
2023-09-30T06:05:35.png

前面的都非常简单,类似这种
2023-09-30T06:06:11.png

当一步步按照题目的提示来到最后一步时:

2023-09-30T06:06:22.png

第一时间想到改X-Forwarded-For为127.0.0.1,结果不行

后来网上一查,发现有很多种方法可以进行请求ip伪造
X-Forwarded-For:127.0.0.1

X-Forwarded:127.0.0.1

Forwarded-For:127.0.0.1

Forwarded:127.0.0.1

X-Forwarded-Host:127.0.0.1

X-remote-IP:127.0.0.1

X-remote-addr:127.0.0.1

True-Client-IP:127.0.0.1

X-Client-IP:127.0.0.1

Client-IP:127.0.0.1

X-Real-IP:127.0.0.1

Ali-CDN-Real-IP:127.0.0.1

Cdn-Src-Ip:127.0.0.1

Cdn-Real-Ip:127.0.0.1

CF-Connecting-IP:127.0.0.1

X-Cluster-Client-IP:127.0.0.1

WL-Proxy-Client-IP:127.0.0.1

Proxy-Client-IP:127.0.0.1

Fastly-Client-Ip:127.0.0.1

True-Client-Ip:127.0.0.1

Host: 127.0.0.1

X-Originating-IP: 127.0.0.1

一个一个试,最后使用的是 X-Real-IP:127.0.0.1

burpsuite发送

POST /?ctf=111 HTTP/1.1
Host: node4.buuoj.cn:26965
User-Agent:NewStarCTF2023
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,/;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: newstarctf.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 28
Origin: http://node4.buuoj.cn:26965
Connection: close
Cookie: power=ctfer
Upgrade-Insecure-Requests: 1
X-Client-IP: 127.0.0.1

secret=n3wst4rCTF2023g00000d

结果:2023-09-30T06:06:47.png

标签:127.0,zh,Forwarded,不止,0.1,IP,XFF,Client
From: https://www.cnblogs.com/gaifa-gafin/p/17758417.html

相关文章

  • rsa 不止一个p
    已知e,n,c,p,q(但是n?=p*q)例如:'''n=p*p*p*q*q'''importgmpy2fromCrypto.Util.numberimport*e=q=p=c=n=p*p*p*q*q'''当n分解类似p*p*pphi=p*p*p-p*p'''phi=(p**3-p**2)*(q**2-q)d=gmpy2.invert(e,phi)......
  • 软件iic返回值总是0xff
    I2C读取总是0xFF,但是ACK是正常的解决方法_iic读数据都为0xff_程序员圈儿的博客-CSDN博客 I2C读取总是0xFF,但是ACK是正常的解决方法-码上快乐(codeprj.com)......
  • 磨刀不误砍柴工,数据压缩,带来的可不止空间节省 | StoneDB数据库观察
    谈到数据仓库,必然都会涉及海量历史数据,但是对于历史数据有个共识,就是越近的数据访问频率越高,越久远的数据访问频率越低。作者 | 祁国辉编辑&设计|宇亭责编 | 韩  楠当历史数据访问频率低到一定程度,我们就会发现数据的存储成本和收益开始倒挂,存储数据有点得不......
  • 不止于此 不忘前行
     2023年的6月9日,我们久壳机房正式参展结束了。在琶洲展会,我们有机会与来自各地的参展商和行业专家进行交流,进一步了解了市场趋势和最近的技术发展。 15.1号馆的展会,有各种产业的产品展出;整个场地被专题论坛、高新产品介绍宣传片等等的的声音覆盖,展会也从断断续续的喧闹声最终......
  • 不止工具:音视频开发「利器」的新机遇
    Boxing的制胜关键是快、准、稳,与“音视频开发”有异曲同工之妙。数字化浪潮席卷、视频化形态加速、终端性能挑战加剧、端侧算力遭遇瓶颈......是否存在一种可能性,让所有企业从复杂的音视频开发工程中抽身,重新回归业务本身?一站式音视频服务如何获取?冗长繁琐的SDK接入流程怎样简......
  • 伙伴云对话海尔施:零代码不止于企业精益运营,更是数字化文化建设的助推器
    内容来源:2023年6月6日,伙伴云【小伙开麦】直播栏目伙伴云对话海尔施,主题为“零代码不止于企业精益运营,更是数字化文化建设的助推器”。分享嘉宾:袁兆江,伙伴云联合创始人、胡楠伙伴学院负责人;廉玮晟,海尔施业务系统负责人、李庆海尔施信息部经理。如何通过数字化赋能员工、赋能企业、赋......
  • 不止于Api调试!Apipost这些功能你会用吗?
    从API设计到API测试Apipost提供了API全生命周期的工作平台,大家对Apipost的API设计和调试功能已经非常熟悉了,不过你知道吗?Apipost的API测试功能也非常强大!简单概括就是:API调试完后随手就能完成API接口自测、API并发测试。而对于我们测试同学来说,可以在Apipost中独立完成测试工作,搭......
  • 【不止IP】First In First Out FIFO核的使用
    一、VivadoFIFOIP核的使用方法和注意事项1、fifo核的两种工作模式:standardfifo、firstwordfallthrough,它们的功能和操作上有一些区别。(1)StandardFIFO(标准FIFO):在标准FIFO中,数据输入(写入)和数据输出(读取)是独立的操作。写入和读取操作是异步进行的,即它们可以在任何时刻......
  • 不止于此 不忘初心
     2023年的6月27-30日,我们久壳机房参加了第六届工业互联网展;在琶洲展会上,我们有机会与来自各地的参展商和行业专家进行交流,进一步了解了市场趋势和最近的技术发展。  1.2号馆的开端局,有各种高质量的产品浮出水面;整个场地被专题论坛、高新产品介绍宣传片等等的的声音覆盖,工业......
  • 2023-07-07:给出两个字符串 str1 和 str2。 返回同时以 str1 和 str2 作为子序列的最短
    2023-07-07:给出两个字符串str1和str2。返回同时以str1和str2作为子序列的最短字符串。如果答案不止一个,则可以返回满足条件的任意一个答案。输入:str1="abac",str2="cab"。输出:"cabac"。答案2023-07-07:大体步骤如下:1.初始化字符串str1和str2分别为"abac"......