初试ctf wp
X-forwarded -for和reffer
根据提示,想到要请求真是的ip,于是我用burpsuite,拦截后到repeater,添加xff,这里遇到些问题,到r后,必须先go,再去添加xff才能有正确的提示,经验吧积累。后面又试了又不是这样,纳闷。
看到“必须来自www.google.com”所以想到还要加referer
flag就出现了
实验证明,xff可以不用大写,小写也行
密码破解题
首先随便输入,它会提示要我们用admin作为用户名登陆,照做。之后显示密码错误,然后打开这时的源代码,看见注释“dictionary”,所以需要用字典爆破。在github上下载好字典到文档中(其实就是密码集合),用burpsuite拦截,到