开发者社区> 科技小能手> 正文

php curl构造ip和来路

简介:
+关注继续查看

 首先我们来了解下什么是curl?

curl是利用URL语法在命令行方式下工作的文件传输工具.
curl的概念:
  curl支持很多协议:FTP, FTPS, HTTP, HTTPS, GOPHER, TELNET, DICT, FILE 以及 LDAP。
  curl同样支持HTTPS认证,HTTP POST方法, HTTP PUT方法, FTP上传, kerberos认证,HTTP上传, 代理服务器, cookies, 用户名/密码认证, 下载文件断点续传,上载文件断点续传,,http代理服务器管道( proxy tunneling), 甚至它还支持IPv6, socks5代理服务器,,通过http代理服务器上传文件到FTP服务器等等,功能十分强大。
  Windows操作系统下的网络蚂蚁,网际快车(FlashGet)的功能它都可以做到。准确的说,curl支持文件的上传和下载,所以是一个综合传输工具,但是按照传统,用户习惯称curl为下载工具。
  curl是瑞典curl组织开发的,您可以访问: http://curl.haxx. se/
  获取它的源代码和相关说明。
  鉴于curl在Linux上的广泛使用,IBM在AIX Linux Toolbox的光盘中包含了这个软件,并且您可以访问IBM网站:
  http://www- 1.ibm. com/servers/aix/products/aixos/linux/altlic.html 下载它。
  curl的最新版本是7.27.0,IBM网站上提供的版本为7.9.3。
  在AIX下的安装很简单,IBM网站上下载的rpm格式的包。
  在 http://curl.haxx. se/docs/ ,您可以下载到UNIX格式的man帮助,里面有详细的curl工具的使用说明。
  curl的用法为:curl [options] [URL...]
  其中options是下载需要的参数,大约有80多个,curl的各个功能完全是依靠这些参数完成的。
  具体参数的使用,用户可以参考curl的man帮助。
下面我们讲怎么利用curl的url语法命令伪造网站来源IP和来源域名?
很多投票都有对来路的网址和IP进行验证,但是使用CURL可以伪造成任意的网址与IP,以绕过一些简单的验证,下面举一个简单的例子。
 
程序运行之前,请确保 php.ini 中 extension=php_curl.dll 没有被注释掉。
 
test.php
 
<?php
$ch = curl_init();  
curl_setopt($ch, CURLOPT_URL, "http://localhost/test_2.php");  
curl_setopt($ch, CURLOPT_HTTPHEADER, array('X-FORWARDED-FOR:8.8.8.8', 'CLIENT-IP:8.8.8.8'));  //构造IP  
curl_setopt($ch, CURLOPT_REFERER, "http://www.juehackr.net/ ");   //构造来路  
curl_setopt($ch, CURLOPT_HEADER, 1);  
$out = curl_exec($ch);  
curl_close($ch); 
?>
test.php 会向 test_2.php 发送请求。
 
<?php
function getClientIp() {  
if (!empty($_SERVER["HTTP_CLIENT_IP"]))  
$ip = $_SERVER["HTTP_CLIENT_IP"];  
else if (!empty($_SERVER["HTTP_X_FORWARDED_FOR"]))  
$ip = $_SERVER["HTTP_X_FORWARDED_FOR"];  
else if (!empty($_SERVER["REMOTE_ADDR"]))  
$ip = $_SERVER["REMOTE_ADDR"];  
else  
$ip = "err";  
return $ip;  
}
 
echo "<br />IP: " . getClientIp() . "";  
echo "<br />referer: " . $_SERVER["HTTP_REFERER"]; 
?>
程序运行结果如下:
 
HTTP/1.1 200 OK Date: Tue, 01 Nov 2011 12:20:06 GMT 
Server: Apache/2.2.11 (Win32) DAV/2 mod_ssl/2.2.11 
OpenSSL/0.9.8i PHP/5.2.9 X-Powered-By: PHP/5.2.9 
Content-Length: 53 Content-Type: text/html 
IP: 8.8.8.8
referer: http://www.juehackr.net/
看到了吧,IP和地址可以随意换,对于很多投票机制不完善的投票功能都可以使用这个进行刷票了。
 
顺便说一下,关于真实IP的事情。
 
一般获得用户IP都是使用$_SERVER['REMOTE_ADDR']这个环境变量,但是此变量只会纪录最后一个主机IP,所以当用户浏览器有设定Proxy时,就无法取得他的真实IP。
 
这时可以使用另一个环境变量$_SERVER['HTTP_X_FORWARDED_FOR'] ,它会纪录所经过的主机IP,但是只有在用户有透过Proxy时才会产生,所以可以像以下这样写来取得使用者真实IP。
 
<?php  
if ( empty( $_SERVER['HTTP_X_FORWARDED_FOR'])) 
{  
$myip = $_SERVER['REMOTE_ADDR'];  
else  
{  
    $myip = explode( ',' , $_SERVER['HTTP_X_FORWARDED_FOR']);  
    $myip = $myip [0];  
}  
echo $myip;  
?>  本文转载于绝客部落,http://www.juehackr.net/

本文转自 liang3391 51CTO博客,原文链接:http://blog.51cto.com/liang3391/1046533

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
如何设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云安全组设置详细图文教程(收藏起来) 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全组是什么呢?顾名思义,就是为了服务器安全设置的。安全组其实就是一个虚拟的防火墙,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。
19813 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
29197 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
22540 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
16466 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
20712 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
23588 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
14901 0
23704
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载