Authentication Lab | IP Based Auth Bypass

关注这个靶场的其它相关笔记：Authentication Lab —— 靶场笔记合集-CSDN博客

0x01：IP Based Auth Bypass 前情提要

有些开发人员为了图方便，会给站点设置一个 IP 白名单，如果访问站点的用户的 IP 在白名单内，则允许访问，反之，则无法访问。

IP 白名单本无可厚非，但有些开发人员是通过 HTTP 请求包中的 X-Forwarded-For 这个字段来识别访问者 IP 的，该字段可以被攻击者轻松伪造，这就造成了安全漏洞。

扩展阅读：X-Forwarded-For

X-Forwarded-For（简称 XFF）是一个 HTTP 扩展头部字段，用于在 HTTP 请求中标识客户端的真实 IP 地址。当客户端通过代理服务器或负载均衡器连接到 Web 服务器时，这个字段就可以提供原始的客户端 IP 地址。

XFF 头部的内容通常由代理服务器在转发请求时添加，格式如下：

 X-Forwarded-For : client, proxy1, proxy2

这里的 Client 是客户端的 IP 地址，proxy1 和 proxy2 是请求经过的代理服务器的 IP 地址。如果请求没有经过任何代理，那么 XFF 字段可能不存在，或者只包含客户端的 IP 地址。

注意： XFF 字段是可以被客户端伪造的。

0x02：IP Baed Auth Bypass Write UP

进入靶场，页面显示了我本机的 IP，以及一个提示符，bypass not allowed.：

通过阅读上面的内容，我们知道了，Alex 设置了站点 IP 白名单，只要我本机的 IP 也在这个白名单中，我就也可以登录这个站点啦。

下面的问题就是，服务器是如何获取客户端 IP 的呢？

我们是通过 HTTP 请求与服务器通信的，在 HTTP 请求头中与 IP 地址相关的信息主要有下面两个：

• Remote_Addr： 表示最后发出请求的客户端主机的 IP 地址，该字段是无法伪造的。

• X-Forwarded-For： 用来标识通过 HTTP 代理或负载均衡方式连接到 Web 服务器的客户端最原始的 IP 地址的 HTTP 请求字段，该字段可以伪造。

二选一，我选择伪造 X-Forwarded-For 字段，来尝试绕过服务端过滤逻辑，使用 BurpSuite 抓取访问靶场的流量包：

将该请求包发送到 Repeater 模块，并手动添加上 X-Forwarded-For 字段，值为 192.168.0.100-200 中的任意一个值（靶场提示中已经给你啦）：

从回显看，X-Forwarded-For 字段确实能影响服务端对 IP 的识别，接下来，我们将这个请求包发送到 Intruder 模块，暴力猜解有效的 IP 地址：

从回显的请求包中可以看出，以下 IP 均为白名单 IP（成功过关）：

0x03：参考资料

• HTTP 请求头中包含的 IP 地址相关信息 - CSDN 博客