先看题目描述
本地访问? 打开链接也是在告诉我们这个信息
首先想到了使用BP 抓包 因为我们可以利用其来改包 伪装成本地访问
原始报文的请求 我们来改动一下 点击Headers 新Add一条 X-Forwarded-For : 127.0.0.1
请求报文发生变化
添加一条 X-Forwarded-For : 127.0.0.1将请求伪装成本地访问 改动后放出
得到flag
小结: 伪造请求头~
X-Forwarded-For:
简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP。
请求头格式:X-Forwarded-For:client, proxy1, proxy2 client 即客户端真实ip,后两项是代理ip,可缺省,最终在服务端接收前都会被补齐