账号密码没问题,也添加了xff,怎么就是登录不成功
@Tibbers 我用这个方法没用,试了很多次都不行。
要使用 burpsuit 抓包,然后发送到 repeater 模块,添加 xff 后,点击 send 发送即可看到 flag
解码、添加xff,重放,flag
ip伪造+base64解码
整理的wp https://blog.csdn.net/weixin_50774579/article/details/117216692
管理员默认admin,然后使用X-Forwarded-For进行ip绕过
好家伙,开启需要4金币
本地访问,改成127.0.0.1,。账号是管理员账号,密码源码里有
web11和web12主要都是burp暴破
这个直接admin,密码源码里有,不需要爆破,主要考察了XFF欺骗
上手就bp了三个字典,原来源码下有base64密文。。。
用户名用burp挂卡里的unix_users.txt字典,可爆破。
...
评论
ST2021 3年前
举报
账号密码没问题,也添加了xff,怎么就是登录不成功
littleneng 2年前
举报
@Tibbers 我用这个方法没用,试了很多次都不行。
Tibbers 3年前
举报
要使用 burpsuit 抓包,然后发送到 repeater 模块,添加 xff 后,点击 send 发送即可看到 flag
工具人333 3年前
举报
解码、添加xff,重放,flag
晨辉 3年前
举报
ip伪造+base64解码
一条咸鱼仔仔 3年前
举报
整理的wp https://blog.csdn.net/weixin_50774579/article/details/117216692
会煮面999 3年前
举报
管理员默认admin,然后使用X-Forwarded-For进行ip绕过
qxqzx 3年前
举报
好家伙,开启需要4金币
w0c4tool 3年前
举报
本地访问,改成127.0.0.1,。账号是管理员账号,密码源码里有
脚本也简单 3年前
举报
web11和web12主要都是burp暴破
Tajang 3年前
举报
这个直接admin,密码源码里有,不需要爆破,主要考察了XFF欺骗
cc69qja 3年前
举报
上手就bp了三个字典,原来源码下有base64密文。。。
huyanbo 3年前
举报
用户名用burp挂卡里的unix_users.txt字典,可爆破。