初试ctf wp

初试ctf wp

X-forwarded -for和reffer

根据提示，想到要请求真是的ip，于是我用burpsuite，拦截后到repeater，添加xff，这里遇到些问题，到r后，必须先go，再去添加xff才能有正确的提示，经验吧积累。后面又试了又不是这样，纳闷。
看到“必须来自www.google.com”所以想到还要加referer
flag就出现了
实验证明，xff可以不用大写，小写也行

密码破解题

首先随便输入，它会提示要我们用admin作为用户名登陆，照做。之后显示密码错误，然后打开这时的源代码，看见注释“dictionary”，所以需要用字典爆破。在github上下载好字典到文档中（其实就是密码集合），用burpsuite拦截，到