ctf练习之就差一把钥匙
分类:
文章
•
2025-04-05 17:20:58
一、进入目标站点、查看源代码,没有什么发现
二、查看网站的robots.txt文件,发现存在/console路径
三、进入/console路径,查看源代码,没有发现
四、打开burp suite,设置代理,准备进行ip伪造
五、进行X-Forwarded-For伪造,发现408请求超时错误。
六、在试试X-Real-Ip伪造,同样是408错误。
七、试一下Client-Ip伪造,发现flag。
八、在多次尝试后发现,X-Forwarded-For伪造也可以获得flag。
九、那么为什么一开始使用X-Forwarded-For伪造就不行呢,在我多次试验后发现,如果Request中XFF伪造行后面有2个或以上空行时,可以得到flag,否则就会是408错误。
1.成功:
2.失败
