BUGKU WP-Web28
打开环境发现
脑海里第一个浮现出local host、127.0.0.1,应该和xxf有关。X-Forwarded-For:通过http代理代表客户端及请求端真实的ip,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。附上百度网址https://www.runoob.com/w3cnote/http-x-forwarded-for.html
打开burp suite,在header头上添加X-Forwarded-For:127.0.0.1伪造本地访问
send出flag