web12_本地管理员
key:base64解码+XFF伪造请求头
①查看源代码发现了线索,拿去base64解码得到字符串‘test123'
②猜测用户名admin,密码test123,尝试登陆,发现登陆失败
③题干反复强调”本地",可以想到用伪造XFF请求头来访问
知识补充:伪造XFF头(IP欺骗)
④burpsuite抓包,送到repeater,然后在请求头部 Headers 添加 X-Forwarded-For:127.0.0.1,go一下即可得到flag
key:base64解码+XFF伪造请求头
①查看源代码发现了线索,拿去base64解码得到字符串‘test123'
②猜测用户名admin,密码test123,尝试登陆,发现登陆失败
③题干反复强调”本地",可以想到用伪造XFF请求头来访问
知识补充:伪造XFF头(IP欺骗)
④burpsuite抓包,送到repeater,然后在请求头部 Headers 添加 X-Forwarded-For:127.0.0.1,go一下即可得到flag