评分(22)
解题动态
你不懂的吧 攻破了该题 9小时前
小果d1ng 攻破了该题 10小时前
867736371 攻破了该题 11小时前
妈!有人打我 攻破了该题 11小时前
嗨客111 攻破了该题 12小时前
bugkuxuzou 攻破了该题 15小时前
envykafu 攻破了该题 16小时前
qwerfsafafa 攻破了该题 17小时前
Hehe0619 攻破了该题 18小时前
18908216399 攻破了该题 18小时前
goeasy 攻破了该题 22小时前
春遇枝庭 攻破了该题 1天前
17335918325 攻破了该题 1天前
axura 攻破了该题 1天前
17365797718 攻破了该题 1天前
ahco 攻破了该题 2天前
merrymu 攻破了该题 2天前
cainiao12 攻破了该题 2天前
afanda 攻破了该题 2天前
评论
rufeii 5天前
举报
就是某些网站会优先信任X-Forwarded-For头来获取客户端真实ip,导致我们可以直接伪造X-Forwarded-For:127.0.01来绕过!特别是在使用反向代理(如Nginx、Cloudflare等)的环境中。如果系统简单地信任这个头而不做验证,攻击者可以:伪造 X-Forwarded-For: 127.0.0.1 让服务器认为请求来自本地。从而突破IP的限制!
xianyu520 9天前
举报
x-forwarded-for:127.0.0.1 空一行 user=admin&pass=test123
elvpatic 4天前
举报
大佬请教一下怎么知道的user是admin不是root
202541696 19天前
举报
flag{********}
lwgzs 22天前
举报
curl -H
7778888 1月前
举报
flag{******}
admin43r4r 2月前
举报
1. X-Forwarded-For 头的作用 当请求经过代理(如Nginx、CDN)时,X-Forwarded-For 会记录客户端的原始IP,格式如下: X-Forwarded-For: <client_ip>, <proxy1_ip>, <proxy2_ip>
QLP990 2月前
举报
F12在底部发现base编码,解码后为test123,然后利用yakit进行抓包代理,添加X-Forwarded-For: 127.0.0.1在底部,并且附上user=admin,密码为test123,即可返回flag值
纯情内向小学生 2月前
举报
首先浏览器F12进入开发者模式检查源码,发现末尾含有==字符,是base64标识,然后解码得到test123,因为是管理员系统所以猜测账号名称是admin,打入后发现提示(IP禁止访问,请联系本地管理员登陆,IP已被记录.)所以可以放入burpsuite里面伪造X-Forwarded-For头本地127.0.0.1,然后送回浏览器就可以拿到flag
江南花家第七子花满楼 2月前
举报
随意输入口令尝试登录发现不成功,直接看f12,发现一长串字符,找到base64字符解码,得到test123,随后尝试登录,发现提示本地管理登录,使用XFF,X-Forwarded-For:127.0.0.1 爆破用户尝试,成功登录
liuguowang75 3月前
举报
F12 ,盲猜admin,源码中base64字串解密为tes123,因IP限制,修改请求头,增加参数 X-Forwarded-For: 127.0.0.1,重新发送,返回醒目红字,搞定!