评分(27)
解题动态
Zechariah 攻破了该题 4小时前
ZY1111 攻破了该题 15小时前
Chen_ 攻破了该题 15小时前
giao123456 攻破了该题 15小时前
Wiceh 攻破了该题 15小时前
chechill 攻破了该题 15小时前
memory33 攻破了该题 15小时前
嘟噜嘟噜 攻破了该题 16小时前
xuxu222 攻破了该题 16小时前
NIKO_Y 攻破了该题 16小时前
小白很666 攻破了该题 16小时前
hold on 攻破了该题 17小时前
咖啡豆 攻破了该题 17小时前
adminS612 攻破了该题 17小时前
东方月初z2 攻破了该题 20小时前
plutozy 攻破了该题 20小时前
LucienJJ 攻破了该题 21小时前
LeeeKa1 攻破了该题 21小时前
jamfre3 攻破了该题 21小时前
评论
半路出家 11月前
举报
yakit 打开url ,base64解码 得到 test123 ,疑是为密码 根据提示 X-Forwarded-For: 127.0.0.1
gxrtbtc 12月前
举报
curl -X POST \ -H "X-Forwarded-For: 127.0.0.1" \ -d "user=admin&pass=test123" \ http://117.72.52.127:15594 | \ grep -o 'flag{****}]*}'
rufeii 1年前
举报
就是某些网站会优先信任X-Forwarded-For头来获取客户端真实ip,导致我们可以直接伪造X-Forwarded-For:127.0.01来绕过!特别是在使用反向代理(如Nginx、Cloudflare等)的环境中。如果系统简单地信任这个头而不做验证,攻击者可以:伪造 X-Forwarded-For: 127.0.0.1 让服务器认为请求来自本地。从而突破IP的限制!
xianyu520 1年前
举报
x-forwarded-for:127.0.0.1 空一行 user=admin&pass=test123
一个姓⎝李⎠的师傅~ 10月前
举报
@elvpatic 网站的管理员账户一般是 admin(大家默认俗称遵守的),linux 系统/数据库系统,一般是 root,而 windows 系统的用户一般是 Administrator
solomom 11月前
举报
@elvpatic 都试一试,猜一猜
elvpatic 1年前
举报
大佬请教一下怎么知道的user是admin不是root
202541696 1年前
举报
flag{********}
lwgzs 1年前
举报
curl -H
7778888 1年前
举报
flag{******}
admin43r4r 1年前
举报
1. X-Forwarded-For 头的作用 当请求经过代理(如Nginx、CDN)时,X-Forwarded-For 会记录客户端的原始IP,格式如下: X-Forwarded-For: <client_ip>, <proxy1_ip>, <proxy2_ip>
QLP990 1年前
举报
F12在底部发现base编码,解码后为test123,然后利用yakit进行抓包代理,添加X-Forwarded-For: 127.0.0.1在底部,并且附上user=admin,密码为test123,即可返回flag值
纯情内向小学生 1年前
举报
首先浏览器F12进入开发者模式检查源码,发现末尾含有==字符,是base64标识,然后解码得到test123,因为是管理员系统所以猜测账号名称是admin,打入后发现提示(IP禁止访问,请联系本地管理员登陆,IP已被记录.)所以可以放入burpsuite里面伪造X-Forwarded-For头本地127.0.0.1,然后送回浏览器就可以拿到flag