Myluzh Blog

X-Forwarded-For,伪造HTTP请求端真实IP

发布时间: 2020-3-4 文章作者: myluzh 分类名称: NOTE 朗读文章


关于HTTP X-Forwarded-For 介绍
需要伪造请求端为127.0.0.1,直接burpsuite抓包,然后增加字段X-forwarded-for: 127.0.0.1,提交即可

例如下面有一道CTF题,前面部分就是利用伪造xforwardedfor来实现访问的,如下,访问后提示没有访问对象的权限,对象受保护或服务器不可读。
点击查看原图

第一时间就想到了,伪造http请求头,直接burpsuite抓包,增加字段X-forwarded-for: 127.0.0.1,注意下面要有空行。然后直接发送就好了。
点击查看原图

成功进入
点击查看原图


标签: X-Forwarded-For

发表评论