打开网页,提示输入用户名和密码登陆,有点像是 SQL 注入的题,当随意输入一个值提交之后,又有如下提示
IP禁止访问,请联系本地管理员登陆,IP已被记录.
查看源码没有发现任何线索,然而打开浏览器的控制台反而发现了一点东西
将注释中的字符串进行解密,得到的结果是
test123
,再联系页面上的联系本地管理员登陆,IP已被记录。本地管理员?IP?想到了IP地址伪造。于是就伪造一个本地IP登陆,对提交的数据抓包,添加一个
X-Forwarded-For
请求头,值为127.0.0.1
于是乎就得到了flag。。。。。。。。。。
image.png
网友评论