頁面是一個登陸表單,需要賬號密碼,首先f12查看源代碼,發現有一段可疑的注釋,明顯是base64,解碼得到test123,似乎是一個類似於密碼的東西,既然是管理員,就猜測用戶名是admin,填上去試一下哇
看到這里我不會做了,題解中說可以偽造自己是本地管理員,即偽造來源ip,用burpsuite攔包,加一行x-forwarded-for:127:0:0:1,就得到flag了
值得注意的一點是,我一開始用的是client-ip,發現不行,似乎業界的標准是x-forwarded-for,切記切記
免責聲明!
本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。