标签:CTF | X-Forwarded-For | 本地访问
提示:Only allowed access by local address/仅允许通过本地地址访问
打开网址
发现弹框:Only allowed access by local address
翻译一下就是:仅允许通过本地地址访问
X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。
又发现了Cookie: isadmin=0,估计应该是权限设置。
满足条件:
Cookie: isadmin=1
X-Forwarded-For:127.0.0.1
新增:X-Forwarded-For:127.0.0.1
修改:Cookie: isadmin=0 为 Cookie: isadmin=1
Flag:flag{Why_ar6_Y0u_s0_D1a0}
扩展知识:
HTTP代理相关知识
透明代理:也叫普通代理,它不但改变了我们的请求信息,还会传送真实的IP地址。从:HTTP_X_FORWARDED_FOR 等代理信息可以查到我们IP地址!
匿名代理:普通匿名代理,它能隐藏客户机的真实IP,但会改变我们的请求信息。它不传送正式ip,但是可能会发送HTTP_VIA、 HTTP_PROXY_CONNECTION 信息,还是可以通过这些判断出使用了代理!
高级匿名代理:不改变客户机的请求,这样在服务器看来就像有个真正的客户浏览器在访问它,这时客户的真实IP是隐藏的,服务器端不会认为我们使用了代理!
HTTP通道:http代理服务器支持Connect请求,这类代理服务器基本可以代理所有软件,如:QQ,FoxMail,FTP等等,不支持通道的HTTP代理,基本上只支持简单的Http GET,POST等请求服务!
SOCKS代理知识
SOCKS5:常见SOCKS代理有Socks4,socks5,不过目前基本上以socks5代理为主,它基本支持所有客户端请求协议,Http,Ftp,Smtp等,可以具备高级匿名代理隐藏功能!
打赏我,让我更有动力~
© 2016 - 2022 掌控者 All Rights Reserved.
bluecap
发表于 1个月前
这题我感觉这样也做不出来啊

评论列表
加载数据中...