BUU BURP COURSE
BUU BURP COURSE的wp
好久都没有发博客文章了,最近都是在自己学习和做题还有学车。开心的是现在也是有本本的人了。好了废话不多说进入正题。
打开题目就一个提示只能本地访问
直接就想到了X-Forwarded-For
的伪造
结果还是提示只能本地访问。说明我们的方法不对。
然后自己通过查阅资料发现在http里面除了可以使用X-Forwarded-For
以外,还可以使用X-Real-IP
.
于是乎我尝试X-Real-IP: 127.0.0.1
发现出现了用户名密码。说明我的做法是正确的。
之后就是点击登录,通过post提交用户名密码。注意还是要添加上X-Real-IP: 127.0.0.1
成功!!!
总结:
这个题让我学习了一个新知识点X-Real-IP
他们的区别是:X-Forwarded-For
:是用于记录代理信息的,每经过一级代理(匿名代理除外),代理服务器都会把这次请求的来源IP追加在X-Forwarded-For中并且用逗号分隔。X-Real-IP
:一般只记录真实发出请求的客户端IP
是简单一个题目,大佬绕过~~~