貌似有点难

最新推荐文章于 2022-08-18 14:32:30 发布
最新推荐文章于 2022-08-18 14:32:30 发布
阅读量132 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41894567/article/details/81431481
版权

 打开链接

发现上面出现了,你的ip不在允许列表之内,那该怎么办,打开代码:

<?php
function GetIP(){
if(!empty($_SERVER["HTTP_CLIENT_IP"]))
	$cip = $_SERVER["HTTP_CLIENT_IP"];
else if(!empty($_SERVER["HTTP_X_FORWARDED_FOR"]))
	$cip = $_SERVER["HTTP_X_FORWARDED_FOR"];
else if(!empty($_SERVER["REMOTE_ADDR"]))
	$cip = $_SERVER["REMOTE_ADDR"];
else
	$cip = "0.0.0.0";
return $cip;
}

$GetIPs = GetIP();
if ($GetIPs=="1.1.1.1"){
echo "Great! Key is *********";
}
else{
echo "错误!你的IP不在访问列表之内!";
}
?>

发现只有ip为1.1.1.1时,才会得出key值;

可我们电脑的ip不是1.1.1.1 ,只有伪装ip了,抓包得

可以在请求消息的地方,修改请求头,添加   X-FORWARDED-FOR:1.1.1.1

这样就可以得到flag;

x-forwarded-for的理解:

https://www.cnblogs.com/huaxingtianxia/p/6369089.html

 

优呦嘿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实验吧WEB CTF 貌似有点 全网最简单易懂的解题方法
hello world
03-13 444
前言 题目网址:http://www.shiyanbar.com/ctf/32 需要用到的工具: burpsuite 理解 函数分析 代码中包含了两个部分,一个是得到IP地址的GetIP函数,一个是通过GetIP函数获得的IP验证是否为1.1.1.1的主函数部分。 那么这题的思路应该非常的清晰,我们需要想方法使得代码中的GetIP函数获得的IP地址为1.1.1.1,我们就能得到flag。 好,那么现在我们再来查看这个函数,在这个函数中我们可以这样去进行理解,首先查看是否存在$_SERVE.
实验吧CTF题库——貌似有点
weixin_34245082的博客
11-14 780
貌似有点 不多说,我们点开链接看看题目吧。 点开链接,我们看到的是这么一个界面,Tips View the source code。(提示我们查看源代码) 我们点开View the source code,查看本题的源代码。 我们看下面这几行代码 if ($GetIPs=="1.1.1.1") {echo "Great! Key is ...
ctf实验吧题目:貌似有点
RongChun的博客
01-20 672
ctf实验吧题目:貌似有点 题目界面 题目要求:伪造ip访问网页 解题方法:通过burp抓包修改请求头即可获得答案 原抓包内容: 发送到Repeater中修改后go即可获得答案 ...
实验吧ctf-web-貌似有点
n0l的博客
04-02 493
貌似有点 http://ctf5.shiyanbar.com/phpaudit/ 首先,打开链接 如图,提示view the source code, 那就打开看看呗: 查看代码 通过代码可以发现,后端调用一个名为GetIP的函数,按顺序检查"HTTP_CLIENT_IP","HTTP_X_FORWARDED_FOR"和"REMOTE_ADDR"这三个地址,如果其中有一个不为空,那么将...
实验吧-CTF-web-头有点大&&貌似有点&&看起来有点(学习笔记)
gaily123的博客
10-18 456
实验环境 sqlmap(kali2.0) BurpsuitePro-v1.6 firefox 头有点大 题目链接:http://www.shiyanbar.com/ctf/29 打开发现说缺少 .net framework9.9,但是没有9.9版本,还要求在英格兰地区 此处考虑在http头文件加入此描述,上Burpsuite抓包传给repeater User-Agent是用来记录客户端的系统,...
c#和python哪个_微软的 C# 学吗?和 Python 比起来
weixin_39571404的博客
12-11 2921
并不学,考虑到写项目的时候我经常被Python的返回值搞得焦头烂额,静态语言的C#就轻松多了。C#和Java差不多,感觉可以算是最好学的几门语言之一了。C#的基本语法和java一样简单,反正就是控制流、异常处理那些东西,也就是语法稍微有些不同。C#的语法糖虽然比较多,但是大部分其实都是简化语法,仅仅让你少打几个字的,没有什么很理解的东西。LINQ和java的流类库有点像,反正只要懂了那种思想,...
vuex听说很
前端很忙
04-18 3281
Vuex 是什么?通俗易懂讲解vuex。vuex分析。vuex教程。
趣谈12星座 这个貌似挺准的
小李专栏
04-24 8447
白羊座      我不得不承认,这个星座的人确实和我是最佳搭档,如果把我和一个白羊座的人关在监狱10年,我觉得都不得闷死,出来的时候肯定还说,等会再出来,还有个笑话没说完…………      当然,白羊座的人搞笑需要狮子座的引导,这点我也还是能充分证明,比如说,1号白羊平时比较酷,但是如果有我的话,简直就是一个超级神经病,又如2号白羊,平时淑女得跟淑女一样,如果有
工作容易,赚钱很
Je-ZYY的博客
11-21 1万+
工作容易,赚钱很 李宗盛有首歌的歌词里写到:「工作是容易的,赚钱是困的」。乍一听感觉有点矛盾,工作的一个重要结果不就是赚钱么,为什么工作容易赚钱却?但仔细一想就恍然其中想表达的意思了。 工作的本质是出售劳动价值,通过工作赚到的钱是对劳动价值的价格度量,也即劳动的市场价格。而劳动的市场价格总是围绕价值上下波动,有可能折价也可能溢价,但总不会偏离价
工作容易,赚钱很
热门推荐
huangshulang1234的博客
11-07 1万+
工作容易,赚钱很 李宗盛有首歌的歌词里写到:「工作是容易的,赚钱是困的」。乍一听感觉有点矛盾,工作的一个重要结果不就是赚钱么,为什么工作容易赚钱却?但仔细一想就恍然其中想表达的意思了。 工作的本质是出售劳动价值,通过工作赚到的钱是对劳动价值的价格度量,也即劳动的市场价格。而劳动的市场价格总是围绕价值上下波动,有可能折价也可能溢价,但总不会偏离价值本身太远。
CTF-web-貌似有点
zhz444614971的博客
04-01 366
CTF-web 0x01:貌似有点 题目链接:http://ctf5.shiyanbar.com/phpaudit/ python代码: import requests s=requests.Session() url='http://ctf5.shiyanbar.com/phpaudit/' headers={ # 'X_FORWARDED-FOR':'1.1.1.1', 'Con...
实验吧-貌似有点-http头部ip地址伪造
weixin_33896726的博客
11-09 394
2019独角兽企业重金招聘Python工程师标准>>> ...
【蚂蚁金服6面】成功进入核心拿了36K,突然感觉貌似不太
m0_73256420的博客
08-18 784
对监控警报的项目很感兴趣, 问了挺多细节,。因为到了 HR 面至少证明你的技术没什么问题,直说出来方便 HR 判断两边的价值观是否合拍,假如真的不合拍,那其实在 HR 这一面挂了比起进去之后再后悔又跳槽要好很多,毕竟大家都不喜欢频繁跳槽的简历。”(只有五位面试官,样本不够大,不能作数哦),这类问题其实我慌得要死,怕吹过头了答不上来,面试挂了事小,丢了面子事大。蚂蚁的面试挺独特,每轮面试都没有 HR 约时间,一般是晚上 8 点左右面试官来一个电话,问是否能面试,能的话开始面,不能就约一个其它时间。......
蚂蚁金服6面,成功唬住面试官拿了36K,突然感觉Java面试貌似不太...
yyyy11119的博客
09-18 515
蚂蚁的面试挺独特,每轮面试都没有 HR 约时间,一般是晚上 8 点左右面试官来一个电话,问是否能面试,能的话开始面,不能就约一个其它时间。 全程 6 面,前五面技术面,电话面试,最后一面是 HR 面,现场面。 大佬说技术这方面肯定要掌握好,其实面试题也可以背一背,要是他提前有时间就看一下面试题说不定有些问题就可以回答得更好,可以起个抱佛脚的作用。 注:这边整理了2021最新最全——Java一线大厂面试题解析合集:JAVA基础-中级-高级面试+SSM框架+分布式+性能调优+微服务+并发编程+网络+设计模式
传统知识+古典密码
慢慢变小佬的博客
08-11 2085
拿到这道题,发现咋出现了一串关于年份的东西,这又是什么密码,由于上次做题出现一串汉字于是出来个当铺密码,所以这次看到还以为像上次一样出现一个没听说过的密码名称,于是放进百度,搜一下,没出现什么密码名称,于是想起它的顺序表  将题目中的内容一一对应,得出一数字字符:28 30 23 8 17 10 16 30,但题目中还提到  “信的背面还写有“+甲子”,”,然后各加六十(一甲子代表60年...
i 春秋 web 题 <include>
慢慢变小佬的博客
08-22 2032
打开链接地址:http://454e308408314446b0961f6226b502e7ad8cd9afd5614658.game.ichunqiu.com/ 题题目中以给出提示,这是文件包含题,打开题目链接后出现: 代码中包含一个phpinfo.php文件,试着去打开这个文件,什么也没有发现。而且可以发现改代码是没有防护的文件包含。 既然是关于php的,可以使用php协议 在该链接下...
i春秋 upload
慢慢变小佬的博客
08-11 1792
 打开题目链接: 可以随意上传文件, 上传图片,txt文件,php文件等都能上传上去; 试着上传一句话; 当上传一句话木马时,上传成功后,原文件变成了如下: 把&lt;?和php过滤掉了,再上传另一个一句话;  &lt;script language="PHP"&gt;  @eval($_POST["code"]); &lt;/script&gt; 上传后连接菜刀;   ...
疑惑的汉字
慢慢变小佬的博客
08-09 1511
 王夫 井工 夫口 由中人 井中 夫夫 由中大     从题目中看到这一串字符,一串中文,啥?这是啥? 我们平时看到的密码都是英文或符号,那这个,,,做题在于积累,从查阅得这是一个当铺密码。 什么是当铺密码? 当铺密码就是一种将中文和数字进行转换的密码,算法:当前汉字有多少笔画出头,就转化为数字几;         王夫 井工 夫口 由中人 井中 夫夫 由中大  对应:67 84 7...
困在栅栏里的凯撒
慢慢变小佬的博客
07-15 1502
看到题目时,并没有什么解题链接,只出现一串  NlEyQd{seft} 这样的字符,那我们就要开始去分析这串字符,从题目中找出答案,困在栅栏中的凯撒,则一开始就想到栅栏解密,栅栏解密后再用凯撒解密得出答案,由于凯撒密码解后,有26种可能,需要从中找出可能的答案;下面就详细去了解下什么是栅栏密码,如何去加密,解密。栅栏密码所谓栅栏密码,就是把要加密的明文分成N个一组,然后把每组的第1个字连起来,形成...
貌似化学 java蓝桥杯
最新发布
05-19
这两个词语没有什么直接关系,可以分开来理解。 化学是自然科学中的一门学科,研究物质的组成、性质、变化以及它们之间的相互作用。它涉及到各种化学元素、化合物、反应、化学键等等。 Java蓝桥杯是一个面向大学生的计算机比赛,旨在提高计算机科学和技术专业人员的实践操作能力。它包括初赛、复赛和决赛三个阶段,考察学生在编程、数据结构、算法、网络等方面的能力。 虽然化学和计算机科学没有直接联系,但是在现代科技中,计算机科学已经成为各个学科中不可或缺的一部分,包括化学领域。例如,计算机模拟可以用来预测化学反应的过程和结果,帮助化学家设计新的化合物。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值