//以下是down.61qq.com/2.asp
<% Response.Write "来路:"%>
<% =Request.ServerVariables("HTTP_REFERER") %>
<%
Dim IP
IP=Request.ServerVariables("REMOTE_ADDR")
Response.Write " 来访者IP地址:" & IP
%>
不管你是用什么WEB程序,如PHP ASP ASP.NET JS JSP 等等,只要实现以下两个功能即可:
1>:2.asp的来路显示为你伪造的REFERER;
2>:2.asp的来访者IP地址显示为浏览者的IP. 我研究了一个月,都不能满足以上两个条件,希望高手把代码搞出来,放在你的空间上,你只需要给我你的空间地址,我访问后2.ASP显示的内容满足以上两个条件,马上通过支付宝给你付100元,拿到代码后测试成功再付100元! QQ 361006777
楼下的请不要跟无用的垃圾贴!
<% Response.Write "来路:"%>
<% =Request.ServerVariables("HTTP_REFERER") %>
<%
Dim IP
IP=Request.ServerVariables("REMOTE_ADDR")
Response.Write " 来访者IP地址:" & IP
%>
不管你是用什么WEB程序,如PHP ASP ASP.NET JS JSP 等等,只要实现以下两个功能即可:
1>:2.asp的来路显示为你伪造的REFERER;
2>:2.asp的来访者IP地址显示为浏览者的IP. 我研究了一个月,都不能满足以上两个条件,希望高手把代码搞出来,放在你的空间上,你只需要给我你的空间地址,我访问后2.ASP显示的内容满足以上两个条件,马上通过支付宝给你付100元,拿到代码后测试成功再付100元! QQ 361006777
楼下的请不要跟无用的垃圾贴!
可以MSN我
[email protected]
你这页面不能完全说明伪造成功,你页面伪造好后,HTTP://down.61qq.com/2.asp,2.ASP要显示你的伪造的来路和浏览者的IP
而且,就算实现,除了用来DDOS攻击以外,没有其他任何意义。
想要盗链,伪造IP之后,根本得不到数据————这是TCP/IP通信协议所定。
2.如果想要下载某网站文件,你可以在客户端执行PHP程序。让他作为一个后台,下载某网站的指定数据即可我的QQ是125401880,很少用,最好MSN。
以前可以利用浏览器的Bug通过XMLHttpRequest或者子Frame的形式实现,Flash以前也存在类似的问题,现在也引入了安全策略。 不过近年这方面的安全补丁很多,都已经被补上了。 基本上仍可行的实现方式都是依赖在客户端上动手脚的。 比如修改客户端hosts使服务器和目标域处于同一个父域、把文件保存在本地后以本地权限打开使脚本能访问任意网站、在客户端安装一个小ActiveX实现跨站访问 等。
function request($url,$postfields,$cookie_jar,$referer){
$ch = curl_init();
$options = array(CURLOPT_URL => $url,
CURLOPT_HEADER => 0,
CURLOPT_PROXY => $proxy,
CURLOPT_NOBODY => 0,
CURLOPT_PORT => 80,
CURLOPT_POST => 1,
CURLOPT_POSTFIELDS => $postfields,
CURLOPT_RETURNTRANSFER => 1,
CURLOPT_FOLLOWLOCATION => 1,
CURLOPT_COOKIEJAR => $cookie_jar,
CURLOPT_COOKIEFILE => $cookie_jar,
CURLOPT_REFERER => $referer
);
curl_setopt_array($ch, $options);
$code = curl_exec($ch);
curl_close($ch);
return $code;
}
你的"asp的来访者IP地址显示为浏览者的IP",我没看明白什么意思。来访者?在一次模拟请求中,谁是来访者?只有这个程序所在的服务器是来访者吧?你所谓的伪造IP,难道不是挂个代理的意思吗?
$ch = curl_init();
$options = array(CURLOPT_URL => $url,
CURLOPT_HEADER => 0,
CURLOPT_PROXY => $proxy,
CURLOPT_NOBODY => 0,
CURLOPT_PORT => 80,
CURLOPT_POST => 1,
CURLOPT_POSTFIELDS => $postfields,
CURLOPT_RETURNTRANSFER => 1,
CURLOPT_FOLLOWLOCATION => 1,
CURLOPT_COOKIEJAR => $cookie_jar,
CURLOPT_COOKIEFILE => $cookie_jar,
CURLOPT_REFERER => $referer
);
curl_setopt_array($ch, $options);
$code = curl_exec($ch);
curl_close($ch);
return $code;
}$url = "down.61qq.com/2.asp";
$referer = "http://www.123.com";
$proxy = "http://218.14.227.198:3128/";$response = request($url,'',$cookie_jar,$referer,$proxy);
echo $response;
结果为:来路:http://www.123.com ;来访者IP地址:218.14.227.198
你要的是这种结果吗?
1,要donw.61qq.com/2.asp显示的IP为我的真实IP:222.211.1.11
2,要donw.61qq.com/2.asp显示的来路为伪造的来路如http://www.123.com不需要伪造IP.当然也不能用代理!
你的代码是用的代理哟,我在空间上运行出错,
Fatal error: Call to undefined function curl_init() in E:\wwwroot\zhwe\wwwroot\1.php on line 3
可能是空间商没装这文件
http://cn2.php.net/manual/en/book.curl.php看手册吧,自己学习了才能掌握。
它又不是HTTP头里的信息。
但伪造REMOTE_ADDR,我就不知道了
继续关注这个帖。。
ref那个只要用socket+http协议发送请求就行.
2>:2.asp的来访者IP地址显示为浏览者的IP. asp如何能获得REFERER?
我们知道asp使用了http协议,这属于比较高层的,
实际上当客户端发起一个连接 到服务器上,要经过很多底层,即便从可视化角度也至少可以看到,网卡/操作系统/web服务:iis apache等
当运行到asp这个层面的时候,客户端的ip/REFERER这些,在底层都已经获得过了
那么asp获得REFERER,有2个方法
1。如果有人要获得REFERER,就把这个的要求,委托到底层,让底层把已获得的数据,返回过来,作为asp自己的数据
2。由于http协议自己也可以发送一些报头,这里面包括了REFERER,那么asp就不找底层了,通过自己这一层,直接获得报头里面的信息
正好,REFERER就是第二种,
用aps/php这些语言,本身可以伪造http报头,而且这个报头对方服务器上的asp也承认,多爽……
从这里也可以看出,即便你伪造了报头,但是对方asp是通过第一种方式去获得,委托到底层,那么你伪造了也是白伪造……
像ip就是白伪造,你伪造了http报头,里面夹杂了你认为的ip信息,对方根本不用你的
当然,这里可以使用替代,你不应该发送REMOTE-ADDR,但是可以发送X-FORWARDED-FOR之类,如果对法asp之类程序认为http报头中的X-FORWARDED-FOR可以替代REMOTE-ADDR,那还有一定效果
X-FORWARDED-FOR是什么?可以认为是,使用代理之前的那个ip,就好像是用户真实ip一样
当然,实际上这是不可能的……
1。X-FORWARDED-FOR既然可以伪造,还有什么真假可言,仅仅是你愿不愿意用它替代而已,或者你打算用个什么方法来验证它的真实性
2。当然,这也是不可能的……既然ddos让几次握手的验证方式都每况愈下,你也不用在http层去验证X-FORWARDED-FOR了
3。那么,REMOTE-ADDR是从底层获得的,它是否是真实的,显然肯定是真实的,他都通过了握手了,肯定存在这个ip。这里不考虑三次握手结束后,再插入一个伪造数据包通过一定方式让对方承认。但REMOTE-ADDR又不是真实的……
我本机ip:192.168.1.1,出口ip:220.210.1.1,那我访问2.asp的时候,2.asp得到的是哪个呢,肯定是后者。通过代理的来,你也只能得到代理ip
4。可见,2.asp可以得到一个伪造的REFERER,用php就可以伪造。2.asp不能一定得到一个客户机的REMOTE-ADD,只能获得最后一个连接服务器的ip,可能是交换机/网关/代理……或的确用户自己ip。如果你不考虑太多,用REMOTE-ADDR就可以,如果你考虑真的很多,要看具体项目,可以想象网银交易/密文认证,他们各按需求用自己的方式,不一定每一种都要用ip来认证