[LitCTF 2023]Http pro max plus

打开环境后提示说,只允许在本地访问,本地访问,还是想到了XFF字段

好家伙的,直接被嘲讽,还是了解太少了,都不知道还有没有其他方式可以控制ip地址信息

经过查看wp,得知一种新的方式

Client-IP

当客户端发送HTTP请求时,可以使用不同的字段来传递客户端IP地址。

Client-IP: - Client-IP是另一个用于传递客户端IP地址的HTTP请求头字段,但并不如X-Forwarded-For常用。

这个字段只包含一个IP地址,即请求的客户端IP地址。

例如,一个请求的Client-IP字段可能是:Client-IP: 203.0.113.195。表示请求的客户端IP地址是203.0.113.195。

成功绕过,获得回显提示说,不是来自pornhub.com,这时候我们就可以利用Referer字段

成功绕过后又提示说要利用Chrome浏览器

利用UA伪造浏览器后,我们又要伪造代理服务器,这时还是想到XFF,但是用不了

百度了一下

via

通过请求中的"Via"字段,可以获取有关请求的中间代理服务器的信息。

"Via"字段是一个可选的HTTP请求头字段,其中包含了代理服务器的相关信息。当请求经过一个或多个代理服务器时,每个代理服务器都会向"Via"字段添加自己的标识。这样做的目的是提供有关请求路径的信息,以便于调试、故障排查和确定请求的来源。

"Via"字段通常采用以下的格式:

Via: protocol-name/protocol-version proxy-node-name (proxy-node-IP:proxy-en-port) 其中:

protocol-name 表示使用的协议,比如 "HTTP" 或 "HTTPS"。

protocol-version 表示协议的版本号,比如 "1.1"。

proxy-node-name 表示代理服务器的名称,可以是一个标识符或主机名。

proxy-node-IP 表示代理服务器的IP地址。

proxy-node-port 表示代理服务器的端口号。

其实我们在伪造的时候只需要直接添加代理服务器的名称就行了

终于结束了,叫我们借一步说话,估计是叫我们访问指定文件

访问后是三个超链接,没啥特别的,主要是源码查看到了新的路径 提示

那到flag,真绕,需要消化一下新知识

相关推荐
wang_shu_mo_ran13 小时前
网络编程(二):UDP数据报在客户端与服务端之间的传输
网络·网络协议·udp
humors22113 小时前
【转帖】关于防范AI编程工具Claude Code安全后门隐患的风险提示
网络·安全·ai编程
深度智能科技13 小时前
IPv6无网络访问权限怎么解决?【图文讲解】Win10/Win11 IPv6无网络访问权限完整修复实操教程
网络·ipv6·深度c盘清理·ipv6协议开启自动获取ip·ipv6无网络访问权限·上不了网怎么办·防火墙拦截ipv6
梦帮科技13 小时前
Rust+Tauri+EVM:构建下一代内存安全级数字版权(DRM)主权音频网络与跨链金融系统的技术实践与全景架构
网络·安全·架构·rust·区块链·音视频·web3.py
mudtools13 小时前
HttpUtils:一个编译时生成的声明式 HTTP 客户端框架
网络·网络协议·http·.net
luj_176821 小时前
残熵算法实时化三大瓶颈突破
c语言·开发语言·网络·经验分享·算法
吴懿不在21 小时前
某次热身赛re方向wp WORDS 51,500 READ 172 MIN base64,
网络
小林ixn1 天前
从“玩具工具”到“跨语言利器”:MCP 协议实战解析
运维·服务器·网络
2603_954708311 天前
全维度容错设计,打造微电网安全运行屏障
服务器·网络·数据库·人工智能·分布式·安全
青岛前景互联信息技术有限公司1 天前
以新标准为底座,前景互联打造高危场景智能接处警新体系
大数据·网络·人工智能