CTF---Web入门第五题 貌似有点难

貌似有点难分值:20

  • 来源: 西普学院
  • 难度:难
  • 参与人数:7249人
  • Get Flag:2519人
  • 答题人数:2690人
  • 解题通过率:94%
不多说,去看题目吧。

解题链接: http://ctf5.shiyanbar.com/phpaudit/

原题链接:http://www.shiyanbar.com/ctf/32

【解题报告】

  这是我入门Web开始写的第五道题,题目标题为貌似有点难,可能真的有点难QAQ,点击解题链接,打开这个页面,哎,这是啥,代码审计?

这里有个View the source code,可以查看页面的源码,我们点击看一下!

还真是~~~

页面显示说:你的IP不在允许列表之内,这说明这道题肯定是一个跟IP有关的东西!源码中有这么一段:

如果IP是1.1.1.1,则会输出Key,否则输出错误!现在我们的页面是报错了,说明我们现在的IP不是1.1.1.1,我们要把它改成1.1.1.1,怎么办呢?

但是我们知道,IP不能随便改,那该怎么办呢?

这时候咱们要用到我们的神器BurpSuite

我们先设置代理,然后使得端口和HTTP请求一致,然后设置IP都为127.0.0.1,然后利用BurpSuite进行抓包拦截

然后发送到Repeter,我们可以修改它的头部IP,也就是修改成为1.1.1.1,用到Client-IP: 1.1.1.1命令,点击Go

于是我们就获取到了Key,输入即为结果!

简单介绍一下,Client-IP 是代理服务器发送的HTTP头,通过客户端伪造Client-IP,可以欺骗此程序,达到“伪造 IP ”的目的

posted @ 2017-11-08 20:59  Angel_Kitty  阅读(2327)  评论(0编辑  收藏  举报