版权声明:原创 多崎巡礼,未经许可禁止转载! https://blog.csdn.net/qq_42357070/article/details/82854591
查看网页源代码
在网页源代码中除最后一行注释代码外,没有什么其它值得特别注意的代码
dGVzdDEyMw== 很明显是Base64编码格式,解码: test123
登录
用户名admin
密码test123
根据返回提示可以看出 肯定是伪造本地ip才能访问
那就伪造试一下
抓包
加上
X-Forwarded-For: 127.0.0.1
得到flag
X-Forwarded-For
X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。
标准格式如下:X-Forwarded-For: client1, proxy1, proxy2