关注这个靶场的其它相关笔记:Authentication Lab —— 靶场笔记合集-CSDN博客
0x01:IP Based Auth Bypass 前情提要
有些开发人员为了图方便,会给站点设置一个 IP 白名单,如果访问站点的用户的 IP 在白名单内,则允许访问,反之,则无法访问。
IP 白名单本无可厚非,但有些开发人员是通过 HTTP 请求包中的 X-Forwarded-For 这个字段来识别访问者 IP 的,该字段可以被攻击者轻松伪造,这就造成了安全漏洞。
扩展阅读:X-Forwarded-For
X-Forwarded-For(简称 XFF)是一个 HTTP 扩展头部字段,用于在 HTTP 请求中标识客户端的真实 IP 地址。当客户端通过代理服务器或负载均衡器连接到 Web 服务器时,这个字段就可以提供原始的客户端 IP 地址。
XFF 头部的内容通常由代理服务器在转发请求时添加,格式如下:
X-Forwarded-For : client, proxy1, proxy2
这里的 Client 是客户端的 IP 地址,proxy1 和 proxy2 是请求经过的代理服务器的 IP 地址。如果请求没有经过任何代理,那么 XFF 字段可能不存在,或者只包含客户端的 IP 地址。
注意: XFF 字段是可以被客户端伪造的。
0x02:IP Baed Auth Bypass Write UP
进入靶场,页面显示了我本机的 IP,以及一个提示符,bypass not allowed.
:
通过阅读上面的内容,我们知道了,Alex 设置了站点 IP 白名单,只要我本机的 IP 也在这个白名单中,我就也可以登录这个站点啦。
下面的问题就是,服务器是如何获取客户端 IP 的呢?
我们是通过 HTTP 请求与服务器通信的,在 HTTP 请求头中与 IP 地址相关的信息主要有下面两个:
-
Remote_Addr: 表示最后发出请求的客户端主机的 IP 地址,该字段是无法伪造的。
-
X-Forwarded-For: 用来标识通过 HTTP 代理或负载均衡方式连接到 Web 服务器的客户端最原始的 IP 地址的 HTTP 请求字段,该字段可以伪造。
二选一,我选择伪造 X-Forwarded-For 字段,来尝试绕过服务端过滤逻辑,使用 BurpSuite 抓取访问靶场的流量包:
将该请求包发送到 Repeater 模块,并手动添加上 X-Forwarded-For 字段,值为 192.168.0.100-200
中的任意一个值(靶场提示中已经给你啦):
从回显看,X-Forwarded-For 字段确实能影响服务端对 IP 的识别,接下来,我们将这个请求包发送到 Intruder 模块,暴力猜解有效的 IP 地址:
从回显的请求包中可以看出,以下 IP 均为白名单 IP(成功过关):
0x03:参考资料
-
HTTP 请求头中包含的 IP 地址相关信息 - CSDN 博客