Day12
管理員系統
flag格式flag{}
本題要點:偽造請求頭
解釋一下偽造請求頭~
X-Forwarded-For:
簡稱XFF頭,它代表客戶端,也就是HTTP的請求端真實的IP。
請求頭格式:X-Forwarded-For:client, proxy1, proxy2 client 即客戶端真實ip,后兩項是代理ip,可缺省,最終在服務端接收前都會被補齊。
首先我們看到這種用戶名密碼登錄的樣式,第一步就是隨便輸入,submit
接着右鍵查看源碼
發現什么也沒有,但是,滾動條暴露下面還有東西啊,哈哈哈
果然被發現了,base64去解密
這個應該是密碼了~
管理員系統,猜想用戶名為admin
所以用戶名為admin,密碼為test123
因為信息提示 請聯系本地管理員登陸
(這里就用到了偽造請求頭,即偽造成本地管理員127.0.0.1)
好了,我們現在抓包看一下
發送至repeater並在header中add 增添一對鍵值對: X-Forwarded-For : 127.0.0.1 偽裝成本地訪問。
Go一下~
得到flag~~最后就是注意格式哦~~
完成!
