评分(23)
解题动态
liang52kr 攻破了该题 1小时前
18169743369 攻破了该题 1小时前
15891957214 攻破了该题 2小时前
yiyan1 攻破了该题 2小时前
yonghu1 攻破了该题 4小时前
blii 攻破了该题 5小时前
Xl2219 攻破了该题 6小时前
c1234 攻破了该题 8小时前
18615926070 攻破了该题 10小时前
tanAlger 攻破了该题 10小时前
15819651372 攻破了该题 14小时前
HKzhou 攻破了该题 16小时前
mirron 攻破了该题 16小时前
18253937182 攻破了该题 1天前
yanyu1114 攻破了该题 1天前
millim 攻破了该题 1天前
OY 攻破了该题 1天前
13340797087 攻破了该题 1天前
yyt030 攻破了该题 1天前
评论
框可 25天前
举报
HTTP 头部要求 Header-Name: Value 的格式非常严格,冒号后面只能跟一个空格,然后就是值。任何不可见的控制字符都会破坏解析,导致服务器要么忽略整个头部,要么无法正确解析该头部的值。
ubudj 1月前
举报
查看源代码,解码得到密码,再用http协议的xxf伪造管理员的ip地址访问,抓包后加上X-Forwarded-For: 127.0.0.1,
一个姓⎝李⎠的师傅~ 1月前
举报
自己的解题思路:https://www.yuque.com/u21437924/ap9vtm/gqkc3dcfmfpe5p85?singleDoc#%E6%9C%AC%E5%9C%B0%E7%AE%A1%E7%90%86%E5%91%98
zhenhui 1月前
举报
使用hackBar修改请求头时注意 ':'的格式
Hrkh 1月前
举报
先查看源码 解码Base64得到疑似密码 用hackbar修改X-Forwarded-For 127.0.0.1
yehlg 1月前
举报
flag{***}
半路出家 1月前
举报
yakit 打开url ,base64解码 得到 test123 ,疑是为密码 根据提示 X-Forwarded-For: 127.0.0.1
gxrtbtc 2月前
举报
curl -X POST \ -H "X-Forwarded-For: 127.0.0.1" \ -d "user=admin&pass=test123" \ http://117.72.52.127:15594 | \ grep -o 'flag{****}]*}'
rufeii 2月前
举报
就是某些网站会优先信任X-Forwarded-For头来获取客户端真实ip,导致我们可以直接伪造X-Forwarded-For:127.0.01来绕过!特别是在使用反向代理(如Nginx、Cloudflare等)的环境中。如果系统简单地信任这个头而不做验证,攻击者可以:伪造 X-Forwarded-For: 127.0.0.1 让服务器认为请求来自本地。从而突破IP的限制!
xianyu520 2月前
举报
x-forwarded-for:127.0.0.1 空一行 user=admin&pass=test123
一个姓⎝李⎠的师傅~ 1月前
举报
@elvpatic 网站的管理员账户一般是 admin(大家默认俗称遵守的),linux 系统/数据库系统,一般是 root,而 windows 系统的用户一般是 Administrator
solomom 1月前
举报
@elvpatic 都试一试,猜一猜
elvpatic 2月前
举报
大佬请教一下怎么知道的user是admin不是root