这是第一次接触有关账号密码的题目了,需要提交表单的那种。
打开网址之后。
有一点像SQL注入的题目,所以还是老规矩,先打开我们最喜欢的源代码查看,看有木有线索【好像侦探
啥都木有啊啊啊啊!!!
不死心,再试试提交表单之后的情况。随便乱输入了账号和密码提交。
IP禁止访问???难道说这是有关IP的题目。
继续查看源代码
也是出来这行字,其他什么都没有。
等等...【脑海中想起蔡徐坤的wait wait wait
这个源代码好像有点长啊??!!
最底端显示这是一串神秘代码不是么?
搜素在线解密工具。
好的,这个大概就是账号或者密码了。
俗话说得好,账号一般都是admin。不是么???【无辜的眼神
可是还是解决不了IP禁用问题,打开BurpSuite开始抓包。
这里的时候页面就展示不出来了,所以一定要点一下Forward!!!!!【坑死人
点击之后就正常了。然后得输入账号和密码,进入POST这个阶段才行。
选择里面的POST包,放在Repeater里打开。
在Repeater中的左边面板中,加入一行从网上查资料的字。
这里加入这行字的时候要注意下面得空一行,否则运行不了,相当于是表达头部和内容的分开,很严格。
看到flag出来了,神奇!!不过为什么要加入这行字就可以避开IP问题呢?我们要深挖细掘一下。
X-Forwarded-For:是一个请求头,格式是
X-Forwarded-For:client, proxy1, proxy2
简称XFF,表示设置代理IP等,所以这里就可以使用本地IP 127.0.0.1 来表示想要直接经过本地运行这个网页。
看来还是需要多见识,才能知道遇到这种情况时的一种思路。不简单呀。
最近有几个人关注我了,再接再厉!!大家一起努力吧~~~~嘻嘻嘻