评分(26)
解题动态
purger 攻破了该题 1小时前
Lapis 攻破了该题 2小时前
abner 攻破了该题 11小时前
Tychema 攻破了该题 12小时前
yyl 攻破了该题 15小时前
犯困 攻破了该题 15小时前
xyjwkg 攻破了该题 15小时前
testctffff 攻破了该题 18小时前
whswf 攻破了该题 18小时前
要问路嘛 攻破了该题 20小时前
suxiansheng 攻破了该题 20小时前
kitniu 攻破了该题 22小时前
azerl7 攻破了该题 23小时前
ISERI NINA 攻破了该题 1天前
run土 攻破了该题 1天前
阿巴怪憨憨 攻破了该题 1天前
Q-Larry 攻破了该题 1天前
DSY0211 攻破了该题 1天前
zyyc 攻破了该题 1天前
评论
ctf88 6月前
举报
用bp做这道题的不要直接编辑请求报文输入用户名密码,你手动输入的用户名密码,bp会给你归入请求头部分,应该在inspector编辑请求主体参数
8445 6月前
举报
x-forwarded-for:127.0.0.1 空一行 user=admin&pass=test123.照着搞了一早上,没见返回值里面有啥flag
JIUXIA 7天前
举报
加一下Content-Type: application/x-www-form-urlencoded,我的bp就搞了半天结果就是因为没有这个=__=
KamINanan 1月前
举报
要先登录一下再去exc
框可 7月前
举报
HTTP 头部要求 Header-Name: Value 的格式非常严格,冒号后面只能跟一个空格,然后就是值。任何不可见的控制字符都会破坏解析,导致服务器要么忽略整个头部,要么无法正确解析该头部的值。
ubudj 7月前
举报
查看源代码,解码得到密码,再用http协议的xxf伪造管理员的ip地址访问,抓包后加上X-Forwarded-For: 127.0.0.1,
zhenhui 7月前
举报
使用hackBar修改请求头时注意 ':'的格式
Hrkh 8月前
举报
先查看源码 解码Base64得到疑似密码 用hackbar修改X-Forwarded-For 127.0.0.1
yehlg 8月前
举报
flag{***}
半路出家 8月前
举报
yakit 打开url ,base64解码 得到 test123 ,疑是为密码 根据提示 X-Forwarded-For: 127.0.0.1
gxrtbtc 8月前
举报
curl -X POST \ -H "X-Forwarded-For: 127.0.0.1" \ -d "user=admin&pass=test123" \ http://117.72.52.127:15594 | \ grep -o 'flag{****}]*}'
rufeii 9月前
举报
就是某些网站会优先信任X-Forwarded-For头来获取客户端真实ip,导致我们可以直接伪造X-Forwarded-For:127.0.01来绕过!特别是在使用反向代理(如Nginx、Cloudflare等)的环境中。如果系统简单地信任这个头而不做验证,攻击者可以:伪造 X-Forwarded-For: 127.0.0.1 让服务器认为请求来自本地。从而突破IP的限制!