为了账号安全,请及时绑定邮箱和手机立即绑定

如何伪造$ _SERVER ['REMOTE_ADDR']变量?

/ 猿问

如何伪造$ _SERVER ['REMOTE_ADDR']变量?

守候你守候我 2019-09-02 15:11:14

伪造或劫持$_SERVER['REMOTE_ADDR']变量内容是否可能?


我想伪造一个请求:


$_SERVER['REMOTE_ADDR']='127.0.0.1';

我怎么能用PHP做到这一点?CURL能以某种方式做到这一点吗?


查看完整描述

3 回答

?
达令说

我认为你的意思是远程伪造它。简短的回答是肯定的。关于它是多么容易的长期答案取决于你想要伪造它的方式。


如果您不关心接收响应,那么打开原始套接字到目标并伪造源IP地址就像是微不足道的。我不确定在PHP中是否真的很容易,因为所有PHP的套接字实现都达到或高于TCP级别。但我相信这是可能的。现在,由于您无法控制网络,因此响应不会再回复给您。这意味着你不能(可靠地)通过一个简单的伪造TCP头创建一个TCP连接(因为syn-ack通过要求双向通信来防止这种情况)。


但是,如果你可以破坏IP关闭的网关,你可以做任何你想做的事情。因此,如果你破坏了计算机连接到的wifi路由器,你可以假装是那台计算机,而服务器将无法区分。如果您破坏了ISP的出站路由器,您(理论上至少)可以假装是计算机而服务器不能区分它们。


有关更多信息,请参阅以下链接:


ServerFault问题

Symantec文章

Linux安全文章

但是,127.0.0.1如果您实际危及本地计算机/服务器,则只能在TCP下伪造环回地址。那时真的很重要吗?


重要

如果您使用框架来访问此信息,请确保它不检查X-HTTP-FORWARDED-FOR标头!否则,伪造IP地址是微不足道的。例如,如果您使用Zend Framework的Zend_Controller_Request_Http::getClientIp方法,请绝对确保您false作为参数传递!否则,有人只需要发送HTTP标头:X-Http-Forwarded-For: 127.0.0.1它们现在看起来是本地的!这是一个使用框架而不了解它在后端如何工作的情况可能真的很糟糕......




查看完整回答
反对 回复 2019-09-02
?
不负相思意

远程地址不是出于礼貌而添加的,它在IP协议中用于路由包,因此如果您发送带有虚假地址的包,您将不会收到响应,并且因为您正在谈论HTTP请求,这是通过TCP连接传递的,它需要几个IP数据包(以及匹配的响应)来设置:


不,这是不可能的(当然,实际上通过环回接口从同一主机发送请求)。


查看完整回答
反对 回复 2019-09-02
?
呼唤远方

Apache $_SERVER['REMOTE_ADDR'] 从用于与浏览器通信的TCP套接字填充。由于三次握手,在开放式互联网上影响这个变量是不可能的。如果客户端和服务器在广播网络上,如wifi,那么你可以嗅探线路并完成握手。


查看完整回答
反对 回复 2019-09-02

添加回答

回复

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信