1.启动靶机
访问靶机发现网页提示只能本机访问:
可能是检查请求头只的X-Real-IP字段。
2.使用BP测试
BP抓包,添加X-Real-IP:127.0.0.1测试,发现返回登录界面且包含登录信息:
3.根据上述信息,更改使用POST方法提交username=admin&password=wwoj2wio2jw93ey43eiuwdjnewkndjlwe
获取flag{69a567b4-7864-47f6-b854-186ad981de40}
访问靶机发现网页提示只能本机访问:
可能是检查请求头只的X-Real-IP字段。
BP抓包,添加X-Real-IP:127.0.0.1测试,发现返回登录界面且包含登录信息:
获取flag{69a567b4-7864-47f6-b854-186ad981de40}