貌似有點難分值:20
- 來源: 西普學院
- 難度:難
- 參與人數:7249人
- Get Flag:2519人
- 答題人數:2690人
- 解題通過率:94%
不多說,去看題目吧。
解題鏈接: http://ctf5.shiyanbar.com/phpaudit/
原題鏈接:http://www.shiyanbar.com/ctf/32
【解題報告】
這是我入門Web開始寫的第五道題,題目標題為貌似有點難,可能真的有點難QAQ,點擊解題鏈接,打開這個頁面,哎,這是啥,代碼審計?
這里有個View the source code,可以查看頁面的源碼,我們點擊看一下!
還真是~~~
頁面顯示說:你的IP不在允許列表之內,這說明這道題肯定是一個跟IP有關的東西!源碼中有這么一段:
如果IP是1.1.1.1,則會輸出Key,否則輸出錯誤!現在我們的頁面是報錯了,說明我們現在的IP不是1.1.1.1,我們要把它改成1.1.1.1,怎么辦呢?
但是我們知道,IP不能隨便改,那該怎么辦呢?
這時候咱們要用到我們的神器BurpSuite
我們先設置代理,然后使得端口和HTTP請求一致,然后設置IP都為127.0.0.1,然后利用BurpSuite進行抓包攔截
然后發送到Repeter,我們可以修改它的頭部IP,也就是修改成為1.1.1.1,用到Client-IP: 1.1.1.1命令,點擊Go
於是我們就獲取到了Key,輸入即為結果!
簡單介紹一下,Client-IP 是代理服務器發送的HTTP頭,通過客戶端偽造Client-IP,可以欺騙此程序,達到“偽造 IP ”的目的