通过HTTP头伪造IP

以前做CTF看到过这种姿势,刚好又在xz博客看到了;就转载过记录一下。(其实是老发些没技术含量的没意思,23333)

CTF比赛中会遇到一种题目,例如你的IP是来自德国的才可以拿到flag。所以,我们的思路就是进行数据包头欺骗,伪造我们的IP,骗过服务器。下面来说说伪造IP的几种方式。

X-Originating-IP: 8.8.8.8

X-Forwarded-For: 8.8.8.8

X-Real-IP: 8.8.8.8

X-Remote-IP: 8.8.8.8

X-Remote-Addr: 8.8.8.8

大多都跟反向代理有关

X-Originating-IP 主要出现在邮件头里

X-Forwarded-For 不多说 代理转发的 IP

X-Real-IPX-Forwarded-For 类似

X-Remote-IPX-Remote-Addr 远程主机的 IP

因为都是从脚本层获取的 所以可以进行伪造

Modify Header Value 插件

PHP $_SERVER 变量输出

转载自:https://exp10it.cn/index.php/archives/1056

//_config.yml文件若没有添加enable: true可删除该判断