看我如何通过邮箱获取IP定位-复现

环境准备：一台部署了phpstudy 的vps

脚本内容：get_ip.php

　　该脚本可以生成一个十分隐蔽的图片，并获取客户端的一些敏感信息。

代码内容如下：

<?php
//show_source(__FILE__);
header('Content-Type:image/png');
function get_ip()
{
    static $ipFrom = ['HTTP_CLIENT_IP','HTTP_X_FORWARDED_FOR','HTTP_X_FORWARDED', 'HTTP_X_CLUSTER_CLIENT_IP','HTTP_FORWARDED_FOR','HTTP_FORWARDED','REMOTE_ADDR'];
    foreach ($ipFrom as $key) {
        if (array_key_exists($key, $_SERVER)) {
            foreach (explode(',', $_SERVER[$key]) as $ip) {
                $ip = trim($ip);
                if ((bool) filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4 | FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
                    return $ip;
                }
            }
        }
    }
    return  '127.0.0.1';
}

$im = imagecreatetruecolor(1,1);
$backgroud_color = imagecolorallocatealpha($im, 255, 255, 255, 127);
imagepng($im);
imagedestroy($im);

$ip = get_ip();
// $ip = "IP: " + (string)$ip;
$from = $_SERVER['HTTP_REFERER'];
// $from = "From: " + (string)$from;
$client = $_SERVER['HTTP_USER_AGENT'];
// $client = "Client: " + (string)$client;
$myfile = fopen('1.txt', a) or die('Unable to open file');
//将这些信息保存到1.txt
fwrite($myfile,"IP: ".$ip);
fwrite($myfile, "From: ".$from);
fwrite($myfile, "Client: ".$client);
fwrite($myfile, "
");
fclose($myfile);

?>

效果图：

 

　　图1

发送邮件：

编辑邮件后如图，这个邮件仔细看有个小点，就是那个php文件。

 查看收件人的一些敏感信息：

总结：

　　1.gmail的安全性怎么做的这么好

　　2.qq,腾讯企业邮 ，outlook可以使用

 　　3.protonmail加载图片会失败，也不能获取客户端IP

原文：

技术讨论 | 看我如何通过邮箱获取IP定位 - FreeBuf互联网安全新媒体平台
http://www.freebuf.com/articles/database/185954.html