【攻防世界】CTF web新手08 修改XFF和Referer

【攻防世界】CTF web新手08 修改XFF和Referer

什么是XFF和Referer

• XFF （X-Forwarded-For）
  X-Forwarded-For（XFF）是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。
  简单来说，如果把一个HTTP请求看做一个坐公交车上学的学生，那么XFF的作用就是记录下他到学校之间经过的每一个公交车站。这里的“公交车站”就是HTTP请求包实际经过的代理服务器的ip地址。

//XFF在请求头中的格式
X-Forwarded-For: 用户ip, 代理ip1, 代理ip2

用户每经过一个代理服务器，就会在后面跟上代理的ip地址
XFF的应用相当程度的减少了恶意访问检测和预防的难度，但是也带来了其他一些安全问题，比如XFF注入等。

• Referer
  referer在请求包的head中，作用是告诉服务器“我”是从哪个链接过来的

言归正传

打开题目场景，页面提示我们ip地址必须为123.123.123.123
打开fiddler修改XFF
原始请求包中并没有XFF，我们可以自己构造一个新的请求包，并加上XFF
在响应包中找到了这样一行代码，应该就是接下来referer的内容
继续上述步骤，加入referer
在响应包中找到了flag