管理员系统(60):http://123.206.31.85:1003/
首先,源代码发现了Base64编码,解码得到test123。然后username:admin ,password:test123
submit后提示 IP禁止访问。
然后 要用burpsuite进行模拟本地管理员地址,进行发包,抓包。
这里注意:需要在headers添加一对:X-Forwarded-For:127.0.0.1,就能顺利拿到flag。
X-Forwarded-For 是一个 HTTP 扩展头部,主要是为了让 Web 服务器获取访问用户的真实 IP 地址(其实这个真实未必是真实的)