查看源代码
发现注释<-- dGVzdDEyMw== -->
,base64解码得到test123
, 猜这个是密码
尝试输入
结果得到“IP禁止访问,请联系本地管理员登陆,IP已被记录. ”。根据这个提示,利用X-Forwarded-For来伪造成本地IP。
方法:
1、打开burpsuite,截取登录信息,添加伪造的请求头,此时再随意输入用户名、密码时,提示Invalid credentials! Please try again!
很明显只差找到正确的用户名了
2、再利用Intruder爆破即可。
新姿势:伪造请求头
X-Forwarded-For:
简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP。
请求头格式:X-Forwarded-For:client, proxy1, proxy2
client 即客户端真实ip,后两项是代理ip,可缺省,最终在服务端接收前都会被补齐。