CTF---Web入门第五题 貌似有点难
貌似有点难分值:20
- 来源: 西普学院
- 难度:难
- 参与人数:7249人
- Get Flag:2519人
- 答题人数:2690人
- 解题通过率:94%
解题链接: http://ctf5.shiyanbar.com/phpaudit/
原题链接:http://www.shiyanbar.com/ctf/32
【解题报告】
这是我入门Web开始写的第五道题,题目标题为貌似有点难,可能真的有点难QAQ,点击解题链接,打开这个页面,哎,这是啥,代码审计?
这里有个View the source code,可以查看页面的源码,我们点击看一下!
还真是~~~
页面显示说:你的IP不在允许列表之内,这说明这道题肯定是一个跟IP有关的东西!源码中有这么一段:
如果IP是1.1.1.1,则会输出Key,否则输出错误!现在我们的页面是报错了,说明我们现在的IP不是1.1.1.1,我们要把它改成1.1.1.1,怎么办呢?
但是我们知道,IP不能随便改,那该怎么办呢?
这时候咱们要用到我们的神器BurpSuite
我们先设置代理,然后使得端口和HTTP请求一致,然后设置IP都为127.0.0.1,然后利用BurpSuite进行抓包拦截
然后发送到Repeter,我们可以修改它的头部IP,也就是修改成为1.1.1.1,用到Client-IP: 1.1.1.1命令,点击Go
于是我们就获取到了Key,输入即为结果!
简单介绍一下,Client-IP 是代理服务器发送的HTTP头,通过客户端伪造Client-IP,可以欺骗此程序,达到“伪造 IP ”的目的
作 者:Angel_Kitty
出 处:https://www.cnblogs.com/ECJTUACM-873284962/
关于作者:阿里云ACE,目前主要研究方向是Web安全漏洞以及反序列化。如有问题或建议,请多多赐教!
版权声明:本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文链接。
特此声明:所有评论和私信都会在第一时间回复。也欢迎园子的大大们指正错误,共同进步。或者直接私信我
声援博主:如果您觉得文章对您有帮助,可以点击文章右下角【推荐】一下。您的鼓励是作者坚持原创和持续写作的最大动力!
欢迎大家关注我的微信公众号IT老实人(IThonest),如果您觉得文章对您有很大的帮助,您可以考虑赏博主一杯咖啡以资鼓励,您的肯定将是我最大的动力。thx.
我的公众号是IT老实人(IThonest),一个有故事的公众号,欢迎大家来这里讨论,共同进步,不断学习才能不断进步。扫下面的二维码或者收藏下面的二维码关注吧(长按下面的二维码图片、并选择识别图中的二维码),个人QQ和微信的二维码也已给出,扫描下面👇的二维码一起来讨论吧!!!
欢迎大家关注我的Github,一些文章的备份和平常做的一些项目会存放在这里。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 周边上新:园子的第一款马克杯温暖上架
· Open-Sora 2.0 重磅开源!
· 分享 3 个 .NET 开源的文件压缩处理库,助力快速实现文件压缩解压功能!
· Ollama——大语言模型本地部署的极速利器
· [AI/GPT/综述] AI Agent的设计模式综述