Localhost
时间:2018年10月2日 汇报人:王祎洁
题目
http://web.jarvisoj.com:32774/
题解
进入网址,发现提示”只有访问IP是127.0.0.1才可以获得结果“,但实际上是无法实现的,此时采取伪造IP的方式去进行。通过Burpsuit,添加X-FORWARDER-FOR:127.0.0.1
获得运行结果。
-
在这里拓展一个知识点:
-
服务器端判断访问IP的方式是通过检测header中X-FORWARDER-FOR的值进行的,且认为这个字段值就是访问的IP。像此题中,我们通过添加
X-FORWARDER-FOR:127.0.0.1
来伪造了我们的访问IP得到flag。 -
在这里链接一个网站,关于服务端获取客户IP的几种方式:
-