Contenido principal

Visor de Cabeceras HTTP

Agosto 25, 2008

A la par con la herramienta VNC Hash, publico ésta útil herramienta, que nos permite observar las cabeceras que manda nuestro navegador hacía la página. Es un simple código que recorre las variables del servidor y muestra solo aquellas que estan relacionadas al navegador.
Entre las cabeceras más importantes que podemos encontrar estan:

host: Define el host del servidor al cual desea hacer petición del recurso
user-agent: Es un identificador del navegador que realiza la petición.
accept_language: Por medio de esta cabecera muchas páginas identifican el lenguaje en el cual aceptamos los recursos; de acuerdo a este lenguaje, nos pueden servir la página en uno que otro idioma.
connection: Por medio de esta cabecera, el servidor sabe si deseamos dejar la conexión neutra para luego hacer petición de otros recursos y no desconectarnos y luego hacer la petición. Si está en close, el servidor sirve el recurso y desconecta inmediatamente el cliente.
x_forwarded_for: Es una de las cabeceras, al igual que client_ip, que define si estamos tras un servidor proxy. Es muy útil en los wargames donde debemos ocultarnos tras una IP definida, ya que solo debemos modificar este valor a lo que deseemos, y así el script remoto, pensará que somos un proxy y estamos viniendo de dicha IP.

La herramienta se puede encontrar en este LINK

Para modificar las cabeceras, solo debemos hacer uso de una extensión llamada "modify headers".
Luego de descargarnos e instalar la extensión, debemos ir al menú "herramientas", y luego dar clic en "modify headers".
Inmediatamente, se abre una nueva ventana con tres áreas que podemos identificar fácilmente.
La primera de estas, es el área donde agregamos, modificamos o filtramos cualquier cabecera del navegador.
La segunda área, es donde podemos visualizar las acciones que ya hemos definido, y la tercera y no menos importante, es donde podemos editar, borrar, habilitar o deshabilitar las acciones.

Y a modo de reto, invito a agregar una cabecera llamada "visorhttp" con el contenido "visor", filtrar la cabecera "user-agent", y luego ingresar al visor para obtener un mensaje secreto.

Archivado en: Hacking |

35 comentarios

  1. kmykc Septiembre 16, 2008 @ 3:03 pm

    Muy buena la info brother, pero tengo una pequeña duda, por que al agregar un nuevo valor con la herramienta modify headers, y al actualizar la pagina no puedo visualizar los cambios que yo necesito.

    Por ejemplo, prove lo que pedias, pero al parecer todo sigue igual.

  2. Sysroot Septiembre 16, 2008 @ 5:37 pm

    Tienes que asegurarte de que la cabecera este activada, para hacer esto, nos fijamos si el botón que se encuentra a la derecha este en color verde.

  3. kmykc Septiembre 19, 2008 @ 8:40 pm

    Gracias por la respuesta brother, la verdad es que desdeues de publicar mi comentario me puse como loco a buscar informacion, y por fin lo logre.
    Aunque devo aceptar que me costo trabajo(me refiero ha como conectar con telent y hacer los ejemplos que colocaste en otro post), pero al hacerlo me di cuenta de que era demaciado facil jejejeje.
    Y sobre la modificacion de las cabeceras, pues lo estaba haciendo mal, pero tambien debo agregar que gracias a tus post pude hacerlo y entenderlo de manera excelente, aunque tuve mis problemillas jejejeje.
    Y gracias por tu respuesta brother.

  4. alberto Diciembre 2, 2008 @ 10:19 pm

    El siguiente POST sólo es un comentario, hacer caso omiso a lo que se dice en él
    ************************************************************
    Bueno la verdad estuvo interezante la post que pusiste pero, se hablaba del taper data y pusiste otro plugin que a desir verdad funcionan de manera casi autentica lo malo es que no se sabe si es seguro al realizar tal accion ya que las Cookies y el registro de navegacion permanecen en un archivo edit32.exe y ese archivo no se puede borrar ya que viene con la instalacion de windows y si por alguna razon lo quieren eliminar chau su windows, lo que quiero decir es que se queda registrado cualquier accion que agan lo que sea y pretenden modificar una web quiero que piensen en que estan violando una regla y es la de no infligir los derechos de los autores les recomiendo que agan por paginas que son validas y no protegen nada tal caso es la maidmarian ya que se hackea hasta artarse en conclusion my comentario es que
    *********************************************
    tu desides tu destino, el destino no esta descrito tu haces lo que sera en tu futuro ok??? bye bye

  5. Sysroot Diciembre 3, 2008 @ 5:21 pm

    "pusiste otro plugin que a desir verdad funcionan de manera casi autentica lo malo es que no se sabe si es seguro al realizar tal accion ya que las Cookies y el registro de navegacion permanecen en un archivo edit32.exe"
    La extensión modify headers es totalmente segura, acabe de revisar el código fuente de cada uno de sus archivos y en ninguno de ellos aparece código que tenga que ver con el ejecutable edit32.exe, u otro código que esté ofuscado. Como dije anteriormente es totalmente segura. Ahora me veo con la necesidad de modificar tu comentario, porque lo que importa es la veracidad de la información y que pena contradecirte, pero estas totalmente equivocado.

    "ese archivo no se puede borrar ya que viene con la instalacion de windows y si por alguna razon lo quieren eliminar chau su windows"
    Si se borra el archivo edit32.exe, no pasa absolutamente NADA, edit32.exe no es un archivo esencial del sistema operativo, aparte de esto, los archivos esenciales del sistema operativo no se pueden borrar porque windows los protege, claro está desde que el sistema operativo este corriendo y este usando dichos archivos.

    "estan violando una regla y es la de no infligir los derechos de los autores les recomiendo que agan por paginas que son validas y no protegen nada tal caso es la maidm*rian"
    Al modificar las peticiones que se envian desde nuestro navegador NO se estÁ violando NINGUNA regla, por mas protegida que este la página con eso de los derechos de autor, nosotros podemos hacer lo que queramos con la cabeceras que mandamos. Ahora solo estoy por pensar que pusiste el comentario solo para hacerle publicidad a esa página.

  6. Saurom Enero 15, 2009 @ 2:53 pm

    Hola, muy buena la informacion del blog.

    Una consulta. Como se puede modificar la cabecera obtenida con php $_SERVER[REMOTE_ADDR] ?

    He echo pruebas en local y no me funciona ni con modify header ni con tamper data. Al leer la variable $_SERVER veo que me llega siempre como HTTP_REMOTE_ADDR y probando contra tu pagina donde las muestras tambien veo que en lugar de modificar su valor se añade un nuevo campo REMOTE_ADDR.

    Gracias y saludos.

  7. Sysroot Enero 15, 2009 @ 10:32 pm

    La variable REMOTE_ADDR no se puede modificar ya que es el identificador de la conexión, las variables enviadas por el navegador siempre son tratadas con el prefijo HTTP_ por PHP, así que si envias la cabecera REMOTE_ADDR con tu navegador se identifica con HTTP_REMOTE_ADDR en vez de REMOTE_ADDR.
    En resumen:
    $_SERVER['REMOTE_ADDR'] != $_SERVER['HTTP_REMOTE_ADDR']

  8. Fernando Febrero 3, 2009 @ 1:07 am

    Buenas, para empezar, debo decir que habia escuchado sobre esto, pero aun no habia leido nada, creo que ahora voy a poder interiorizarme con el tema, asi que muchas gracias por la informacion.

    Tengo una simple duda, aun no he probado los programas ni nada, ahora lo hare, pero al leerlo me surgio la duda de si, con cambiar el IP en la cabecera del navegador, podes navegar anonimamente?.

    O de todas maneras dejas grabado en algun lado tu IP real?

    Saludos y gracias por tu tiempo.

  9. Fernando Febrero 3, 2009 @ 1:55 am

    Disculpa por el doble post, pero no puedo modificarlo, una duda, ahora compruebo que evidentemente vindo la herramienta
    Visor de cabeceras HTTP, veo que mi real IP igual sigue apareciendo, asi que me surgio la siguiente duda, que sentido tiene modificar el IP en la cabecera del navegador por ejemplo?

    Y los datos que aparecen en el
    Visor de cabeceras HTTP, son enviados por mi navegador a traves el http?

    Saludos y gracias.

  10. Sysroot Febrero 3, 2009 @ 7:46 am

    Tal como lo dijiste, el visor de cabeceras HTTP sólo muestra las cabeceras enviadas por tu navegador, en ocasiones es útil cuando queremos saber que es lo que está enviando nuestro navegador, o si tal herramienta funciona.
    No tiene sentido modificar la IP a través de las cabeceras del navegador porque simplemente no se modifica nada, el ejemplo claro y que antes preguntaban, era si enviando la cabecera "REMOTE_ADDR" con las herramientas arriba propuestas, se podría modificar la IP, y la respuesta es que no es así, ya que la IP está es referida a la conexión que hace el equipo con el servidor y no a algunas de las cabeceras que mandas.
    Aunque hay una forma de engañar algunas herramientas modificando la IP a través de la cebecera x-forwarded-for o client-ip.

  11. Hack DIgital Abril 14, 2009 @ 4:58 pm

    VNCAUTH 10BCxAE165xC8C62 2xA48875Cx5E8543 :)

    Esta es la clave, ¿que hago con ella?

  12. Sysroot Abril 14, 2009 @ 6:42 pm

    Eso que obtuviste son hashes del VNC, acá tenes una herramienta online que puede descifrarlos: http://www.sinfocol.org/herramientas/vncauth.php

  13. Miguel Sanchez Abril 17, 2009 @ 3:11 pm

    Perdona, pero no se como descifrarlo, indicame como lo tengo que har, Gracias.

  14. Sysroot Abril 17, 2009 @ 3:21 pm

    Tenes esto: VNCAUTH 10BCxAE165xC8C62 2xA48875Cx5E8543
    La primera String es la pista para descubrir lo que dice
    Tanto la segunda como la tercera string "10BCxAE165xC8C62" y ", son claves cifradas del VNC, si queres mira este artículo que hice hace tiempo: http://www.sinfocol.org/2008/08/vnc-hash-cifradordescifrador/

    En resumen VNC utiliza DES con una clave que es la misma para todos los computadores, por lo cuál se puede descifrar el texto cifrado y obtener el texto plano.

    Ingresa a la herramienta, pegas la segunda cadena de texto en el área de texto, y luego seleccionas la opción "VNC >>> ABCD", que es para descifrar el hash VNC a texto plano. El mismo proceso se lo aplicas a la tercera cadena de texto.

  15. Miguel Sanchez Abril 17, 2009 @ 3:57 pm

    Lo siento, es que seré muy torpe, pero a mi me da esto, y lo he probado de todoas maneras, ja ja. no se que me pasa.

    Esto es lo que me da.

    ¥JNµÌ�ëg3��

    Tiene algún sentido. ja ja

  16. Sysroot Abril 17, 2009 @ 4:40 pm

    Jaja sí, lo que estás haciendo es metiendo la cadena de texto que yo te dí, vos me habías enviado una, pero yo modifiqué algunos carácteres por "x" para que otras personas tuviera la oportunidad de realizar el reto.

    Inténtalo con la cadena que enviaste originalmente.

  17. Miguel Sanchez Abril 18, 2009 @ 8:52 am

    Ya ya, Gracias por lo del mensaje, aunque me ha costado mi trabajo.

    Te hago otra pregunta.

    Modificando las cabeceras podemos modificar ciertos parámetros del explorador, podríamos incluso simular que es un explorador de móviles y acceder a contenidos solo para móviles.

    ¿Que otras posibilidades tendría el modificar las cabeceras?

  18. Sysroot Abril 18, 2009 @ 11:10 pm

    Claro, se podrían añadir cabeceras para hacerle creer al servidor que somos un cliente que se encuentra en un celular, algunas de las cabeceras son:
    User-Agent: Nokia6250/1.0
    Via: WTP/1.1 iswg1ldv (Nokia Artuse WAP Gateway 3.0/ECD9/1.2.89)
    X-Network-Info: GPRS,unsecured
    X-Nokia-Bearer: GPRS
    X-Nokia-Connection-Mode: CMODE
    X-Wap-Top-Code: Thu, 01 Jan 1970 00:00:00 GMT
    Accept: application/vnd.wap.wmlc, application/vnd.wap.wmlscriptc, image/vnd.wap.wbmp, application/vnd.wap.wtls-ca-certificate, image/gif, text/plain, text/x-vCard, text/x-vCalendar, application/x-NokiaGameData,text/vnd.wap.wml,text/vnd.wap.wmlscript

    Modificando la cabecera podemos agregar o filtar un referido, para evitar que las páginas webs registren nuestro navegador o simplemente para hacer SPAM, ya que me contaron que google podía leer información de los awstats, que es un sistema que guarda información acerca de las visitas a un servidor, así que podría servir en ese caso para aumentar el Pagerank de alguna página. Podrías también modificar tu User-Agent para enviar datos falsos a la página, modificar el X-Forwarded-For a una IP que no sea la tuya, ya que hay varias aplicaciones en web, para no decir muchas, que registran tu IP según la cabecera X-Forwarded-For o Client-Ip, y no la tuya.

    Por seguridad podemos filtrar el User-Agent y el Referer.

  19. mac Abril 21, 2009 @ 8:26 pm

    Hola, me pueden pasar algun paper o pdf que hable de como engañar modificando la IP a través de la cebecera x-forwarded-for o client-ip.

    Por cierto a que se refieren con filtrar la cabecera “user-agent” la dejan en blanco o es cambiarle el valor.

  20. Sysroot Abril 21, 2009 @ 8:51 pm

    Para "engañar" modificando la IP a través de la cabecera X-Forwarded-For simplemente se agrega esta cabecera y su contenido un IP cualquiera.
    X-Forwarded-For: 127.0.0.1

    Y filtrar en este caso significa dejarla en blanco.

  21. Miguel Sanchez Abril 24, 2009 @ 7:49 am

    Hola, te he añadido a mi web, estás en la página principal de mi web, me parece que sabes de lo que hablas y ademas creo es muy interesante.

    Por otro lado, has hablado antes de como se podía aumentar el PageRank a través de los o awstats, voy a buscar algo de eso en Internet, haber que se puede hacer.

    Gracias por la información.

  22. hecky Abril 24, 2009 @ 11:03 pm

    Muy bueno esto consegui el mensaje y solo puedo decir Felicitaciones jejeje XD. Unas preguntas

    1.-Como puedo engañar para que crea el navegador que mi Sistema operativo sea otro??? Que parte de la cabecera debo modificar??

    2.-Como puedo hacerlo engañar para que crea que tengo una concexion china o algo asi....

    3.-COmo le hizo para que en el reto al agregar la de visor se viera el mensaje oculto???? Osea como hace para ocultar cosas y cuando se modifique algo de la cabecera aparezca???

    Agradezco su orientacion

    un Saludo maestro ;)

  23. Sysroot Abril 25, 2009 @ 11:38 pm

    Gracias Miguel por añadirme a tú sitio.

    Hecky:
    Debes modificar
    1. User-Agent
    2. Referer o Accept-Language
    3. Programando en PHP, el código sería algo así:

    if(isset($_SERVER['HTTP_CABECERA'])){
      echo 'La cabecera "cabecera" ha sido enviada.';
    }else{
      echo 'No se ha enviado la cabecera "cabecera"';
    }
    
  24. hecky Abril 27, 2009 @ 1:58 pm

    Gracias Maestro... solo una dudilla mas que no el USER.AGENT me identifica el Navegador??? pero por ejemplo si yo kiero poner

    User-Agent: Opera9.0
    User-Agent: GNU/LINUX MINT

    El user agent me reconoce las 2 bien?? osea el navegador que kiero mas el Sistema Operativo que kiero???

    Saludos ;)

  25. Sysroot Abril 28, 2009 @ 5:12 pm

    Hola Hecky, el user agent tiene un formato específico. Si queres, mira esta página: http://www.useragentstring.com/
    Allí analizan tú user agent y hay una pestaña en la cual podes ver los User-Agent de otros programas.

  26. hecky Abril 29, 2009 @ 5:51 pm

    Gracias maestro con eso la hago gacha...

    SAludos ;)

  27. Demente18 Junio 22, 2009 @ 12:22 pm

    Oki ^^.

    Ya hice todo, y al parecer ya aprendi, un poco sobre cabeceras HTTP, llevo leyendo un buen rato... xD

    Si modifico los campos x_forwarded_for, client-ip, u campos que brinden mi IP; es lo que se considera Web Spoofing cierto???, no es muy fiable el resultado, pero es un inicio para empezar a ser algo menos obvio.

    mmm... por supuesto que no es ilegal enviar información falsa desde los cabezales HTTP xD, eso es estupido... si lo hicieran ilegal, y hubieran fallos, nos meterian a la carcel??? jajajaja.

    (es lo que pense con el post de alberto)

    Demente18.

  28. mantecol Julio 17, 2009 @ 7:06 pm

    hola tengo un problema y es que cuando bajo el programita tamper data que es para firefox entiendo que es algo como este pero para firefox :P, no puedo instalar nada me sale un archivo llamado "tamper_data-10.0.3-fx" le doy doble clic y nada no instala nada y no pueod usarlo, me podrias decir como lo instalo? gracias

  29. Informatica para todos » Blog Archive » Hacking: XSS en mail.live.com Abril 14, 2010 @ 3:36 pm

    [...] El script vulnerable en este caso es browsersupport.aspx, y la variable directamente afectada es TargetUrl. Este script se encuentra en cada uno de los subdominios de mail.live.com (http://*.*.mail.live.com) y es el encargado de decirnos si nuestro navegador es soportado o no por el sistema (Esto lo hace mediante el reconocimiento de la cabecera User-Agent que es enviada por nuestro navegador cada vez que enviamos una petición de recurso. Ver Mas) [...]

  30. aeternum86 Septiembre 21, 2011 @ 12:45 pm

    Buena página. Aunque para visualizar cabeceras http me gusta mucho esta http://miscabecerashttp.tk que tiene una interfaz sencilla y práctica.

  31. lo4dn3rd Enero 24, 2012 @ 4:52 pm

    Voy un poco tarde, nose si aun estaras pendiente del post, pero voy a intentarlo jaja

    primero de todo gracias por la info, estaba realizando un wargame de otra web y necesitaba documentacion sobre encabezados y gracias a tu explicacion lo he comprendido mejor, pero me falta por saber una cosita:

    para indicar en el encabezado que vengo de la web que yo quiera he de modificar los cookies?
    porque yo lo he intentado modificando el referer pero no me da resultados :(

  32. Sysroot Febrero 2, 2012 @ 10:42 am

    Modificando el Referer lo puedes hacer, intentalo de nuevo ;)

  33. lo4dn3rd Febrero 2, 2012 @ 1:05 pm

    ya lo consegui :) me faltaba poner http:// en la web jaja
    gracias por responder :) enorabuena por la web

  34. reVelation666 Febrero 3, 2012 @ 12:59 am

    se que es tarde como dijo lo4dn3rd pero tengo un problema estoy usando el plugin Modify Headers de Firefox, para modificar el X-Forwarded-For pero cuando me saca el valor de X-Forwarded-For me pone 1.1.1.1, 10.8.112.102. Que se pudiera hacer para evitar esto??
    Saludos.

  35. Sysroot Febrero 3, 2012 @ 8:25 am

    lo4dn3rd: Pero no es necesario el http:// para que el script lo interprete como referer, aunque si es una regla poner el http:// porque se supone que viene de una url válida.

    reVelation666: Si estas detrás de un proxy es posible que esté agregando otra IP en el X-Forwarded-For, poco se podría hacer en este caso.

Deja un comentario