逗比学CTF.day5

BUU BURP COURSE 1

比较基础的IP伪造题目，基础题get到新的知识点，通过伪造X-Real-IP字段实现本地访问

一、原题无源码

打开后，只提示需要本地访问。

二、伪造xff

一说到伪造IP地址，实现本地访问，第一想到的就是X-Forwarded-For字段

但是仍然提示“只能本地访问”，服务器检测的不是xff这个字段。然后只能去问度娘

X-Real-IP字段映入眼帘

三、伪造X-Real-IP字段

这次不在提示“只能本地访问”，说明IP绕过成功，下面继续看html编码

三、代码分析

<html lang="zh-cn">

<head>
	<meta charset="UTF-8">
	<title>登录title>
head>

<body>
	<div style="text-align: center">
		<form action="" method="post">
			用户名：<input type="text" name="username" value="admin"/><br>
        密码：<input type="password" name="password" value="wwoj2wio2jw93ey43eiuwdjnewkndjlwe"/><br>
			<input type="submit" value="登录"/>
    form>
	div>
body>

html>

直说关键部分，这是一个登录界面，其中包括用户名、密码、登录安全

关键字	值
提交方式	POST
username	admin
password	wwoj2wio2jw93ey43eiuwdjnewkndjlwe

四、编辑内容提交