BUU BURP COURSE

BUU BURP COURSE的wp

好久都没有发博客文章了,最近都是在自己学习和做题还有学车。开心的是现在也是有本本的人了。好了废话不多说进入正题。

打开题目就一个提示只能本地访问直接就想到了X-Forwarded-For的伪造
BUU BURP COURSE_第1张图片结果还是提示只能本地访问。说明我们的方法不对。

然后自己通过查阅资料发现在http里面除了可以使用X-Forwarded-For以外,还可以使用X-Real-IP.
于是乎我尝试X-Real-IP: 127.0.0.1
BUU BURP COURSE_第2张图片发现出现了用户名密码。说明我的做法是正确的。

之后就是点击登录,通过post提交用户名密码。注意还是要添加上X-Real-IP: 127.0.0.1
BUU BURP COURSE_第3张图片成功!!!

总结:
这个题让我学习了一个新知识点X-Real-IP
他们的区别是:
X-Forwarded-For:是用于记录代理信息的,每经过一级代理(匿名代理除外),代理服务器都会把这次请求的来源IP追加在X-Forwarded-For中并且用逗号分隔。
X-Real-IP:一般只记录真实发出请求的客户端IP

是简单一个题目,大佬绕过~~~

你可能感兴趣的:(ctf,web,http,安全)