WHCSRL 技术网

Hackergame 2021 Web题3 FLAG 助力大红包 题解(修改X-Forwarded-For)_Jeff

本人小白入门,不到之处请大侠指点!!!

首先我们需要知道X-Forwarded-For是用来干啥的:HTTP X-Forwarded-For 介绍 | 菜鸟教程

简单来说:

X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项

HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的。


有了以上基础知识,我们来看看题目:

 

 

很显然,题目的意思就是需要我们用不同的ip帮我们砍flag。

注意,同一/8网段的用户会被视为同一用户,所以我们只能修改第一个 . 前面的数字从0到256。


首先试试直接从前端修改后提交!

但是返回却说前后端不匹配。

这个时候,我们需要用到XFF来提交我们的后端IP使其与前端IP相同。

 在活动规则里面,我们可以知道,两次提交间会有间隔,不可以提交的太快!!!所以不可以用burp进行爆破;所以只能用python写脚本加上Sleep函数来调整延时。


 如果爆破速度过快,就会显示操作太快。

将Sleep函数的延时调成1s即可。

 

最后提现flag就行了!!!

推荐阅读