题解
1.打开网址,发现有一长串的字符串,直接看源码
(!!!一定要打开换行,不然还是会保持一串)
2.发现最后有一串小绿码,考虑到可能是base64编码(busi,为什么是base64o(╥﹏╥)o)
3.解码之后发现是test123,结合网页,猜测可能是账号或者密码
用test123登录
4.发现提示IP禁止访问,要本地ip
因此要xxf修改请求包改成本地ip(XXF伪造IP,即利用X-Forwarded-For(XFF),具体见下文)
还是用burpsuite拦截,发送到repeater
5.用XXF伪造本地ip
随便加在某两行的中间就可以了(这里是因为方便观看)
X-Forwarded-For: 127.0.0.1
6.再次发送
发现好像和第一次并没有什么不同,哎!这就不得不提POST发送方式了(可见【CTF WEB基础】POST-Bugku CTF题解及知识点-CSDN博客)
因为POST发送要Content-Type: application/x-www-form-urlencoded 和 Content-length:xx
而我们并没有添加,所以可以手动添加(busi),可添加后再发送
but!可以change request method先改成GET发送方式,然后再点一次改回POST发送,burp会自然为我们加上。
乐!
第一次
第二次,可见已经加上了
再次发送
7.可见多了这一行
(我看不懂)
(其实这个单词有用户名的意思,体现了英语的重要性)
所以可以根据本地管理员的默认账号admin可以尝试
(busi,我想这里应该用字典爆破,但是尝试admin的时候直接出来了)
提交就好了
知识点:
1.Base64编码
目前的想法:有绿色提示码可以试试base64编码
()
2.XXF仿造本地ip
加一行这个
X-Forwarded-For: 127.0.0.1
3.POST发送请求头
记得补上Content-type:和Content-length:
(也可两次Change method自动得到)