枫少@KillBoy
7025,6621字数 196阅读0分39秒阅读模式
AI智能摘要
你是否遇到过“IP被禁用”的登录提示?看似无解的封锁,实则暗藏突破口。本文带你深入一道经典Web渗透题,揭秘如何利用X-Forwarded-For头伪造IP绕过访问限制。从抓包改请求到密码爆破,再到源码中隐藏的base64线索,全过程还原解题思路。即便是看似简单的CTF题目,也能暴露真实世界中的安全盲点。读懂它,你将掌握Web安全中关键的请求头欺骗与绕过技巧。
— AI 生成的文章内容摘要
打开网页发现一个登陆界面,
看到是管理员一般我就在用户名那里填了个admin ,然后密码一顿乱输。然后,登陆,出现以下信息。
看到这个提示第一反应就是服务器对X-Forwarded-For做了校验,,,然后我们抓包修改一下X-Forwarded-For
然后接下里,应该就是爆破密码了。。。成功获得flag。。。
这里再补充一下,,当时做的时候没发现源码里面有登录密码,还费劲的自己爆了一下,看了别人的writeup才发现的。。。自己鄙视自己一万次。。。。
按F12可以找到base64加密的一堆东西。。。
然后去解密。。。
不过爆破也可以,毕竟这样的密码也费不了多少时间。。。
澳大利亚 1F
X-Forwarded-For还能这么玩?学到了(不是)
四川省德阳市 B1
@ 隐形于人群 确实,绕弯子了,直接看源码多好
中国 2F
密码居然藏源码里,我爆破了半小时…心态崩了
广东省广州市 B1
@ 琴师孤鸿 别太自责,碰到这种坑很正常
四川省成都市 B1
@ 琴师孤鸿 XFF头这么简单就能绕?不敢相信
广东省广州市 3F
管理员默认用户名是常识,但IP限制真没想到
印度 4F
base64那串我解了半天,结果密码直接在源码里?
辽宁省 B1
@ 星界引路人 源码藏密码太坑了,完全没想到要检查
韩国 5F
这提示太致命了,“IP禁止访问”直接指方向了
山东省 B1
@ 赛博机械师 IP提示太直白了,根本不用想😂
韩国 6F
谁懂啊,抓包改头一次过,运气还是技术?
河北省 7F
之前搞CTF也遇到类似,改个头就绕过去了,经典套路
日本 B1
@ 二皮脸 这招太常用了,直接省了不少时间
广东省深圳市 8F
flag是拿下了,但我的自尊心没了…
河南省新乡市 B1
@ 异乡客 拿到flag已经够好,别太在意面子
山东省临沂市 B1
@ 异乡客 哈哈,我也一样,flag拿了人麻了
山东省青岛市 B1
@ 异乡客 下次遇到管理员系统,先改XFF试试
泰国 9F
这题是不是该归类到“社工”而不是web?
北京市 B1
@ Spinner Sage 社工和web本来就没严格界限吧
湖北省宜昌市秭归县 10F
爆破也挺快的,这种弱密码几分钟就搞定
北京市 B1
@ 暴走恐龙崽 弱密码爆破确实快,但看到源码藏密码真的裂开
上海市嘉定区 11F
抓包工具用熟了就很简单,多练几次就会了
吉林省吉林市 12F
我直接改请求头一次成功,运气爆棚
山东省 13F
这题对新手不太友好,容易卡在IP限制那
广东省广州市 14F
flag拿到了但过程好曲折😂
韩国 15F
第一次见这种套路,长见识了
中国 B1
@ 韵墨沉香 之前做题也栽过这坑,改个头就进去了
浙江省宁波市 16F
F12检查元素果然是必备技能
重庆市 B1
@ 狂战士 手抖党懂你,多打个空格太真实了
福建省福州市 17F
这题纯纯的Web基础题吧,社工个啥
广西贺州市 18F
F12一开直接看到base64,我还以为是障眼法
北京市 19F
这题真是坑,还以为要写脚本爆破好久😂
安徽省芜湖市 20F
改X-Forwarded-For的时候手抖多打了个空格,卡了十分钟
云南省红河州 21F
谁试过用Burp自动爆?感觉比手动快多了
上海市长宁区 22F
flag到手了,但总觉得这题在嘲讽我菜
浙江省温州市 23F
源码里藏密码是不是有点过分了啊?
广东省广州市 B1
@ 绒绒小兔 这题对新手来说确实容易卡半天
江苏省无锡市 24F
又是被自己蠢哭的一天😭
日本 25F
这题纯纯折磨人,flag到手了人已经傻了
日本 26F
谁懂啊,我还以为要写爆破脚本整半天
山东省济南市 27F
X-Forwarded-For是这么用的?涨经验了😂
北京市 28F
密码藏源码里真的过分,心态直接炸
山东省威海市 29F
我F12都没敢细看,结果错过最简单解法
浙江省 30F
改个请求头就完事,我硬是折腾一小时
北京市 31F
这种提示等于明说“往这儿改”吧?
马来西亚 32F
base64那串还以为是关键线索……
安徽省淮南市 33F
新手表示完全没想到IP还能伪造
湖北省武汉市 B1
@ 星辰观察者 IP伪造这块得记笔记
美国 34F
抓包时手滑删了header,重试五次才对
上海市 35F
密码就在源码里,白爆破半天
广东省广州市 36F
之前也碰到过这种套路,改个头就通
北京市 37F
源码藏密码真的狗
印度 38F
base64那串解出来是啥?有人贴一下不
上海市 39F
抓包工具用顺手了确实快
福建省福州市 40F
flag是啥内容?好奇
韩国 41F
这题感觉在玩心理战
湖南省湘西州吉首市 B1
@ 剑魄琴心 是吧,就看你敢不敢改
广东省广州市 42F
改了XFF头之后密码咋爆的?
湖北省武汉市 43F
这提示太直接了,生怕我们不知道改哪
日本 44F
爆破密码那一步,用哪个工具快一点啊?
越南 45F
之前搞过类似题目,一模一样,看到提示就改XFF
上海市 46F
改了头之后密码是啥?直接看源码就行?
浙江省 47F
这题纯纯送分,没啥技术含量
广东省揭阳市 48F
base64解出来是啥玩意儿,有老哥贴下结果不
上海市 49F
我咋没看到源码里有密码?在哪一行藏的?
印度尼西亚 50F
😂太真实了,我也是先爆破了半天才看别人写的
澳大利亚 51F
这题还行,适合练手
甘肃省平凉市 52F
新手表示一脸懵,啥是X-Forwarded-For
韩国 53F
改个请求头就完事,我居然卡了半天
江苏省无锡市 54F
感觉这题在教我们F12的重要性