貌似有点难分值:20
- 来源: 西普学院
- 难度:难
- 参与人数:7249人
- Get Flag:2519人
- 答题人数:2690人
- 解题通过率:94%
不多说,去看题目吧。
解题链接: http://ctf5.shiyanbar.com/phpaudit/
原题链接:http://www.shiyanbar.com/ctf/32
【解题报告】
这是我入门Web开始写的第五道题,题目标题为貌似有点难,可能真的有点难QAQ,点击解题链接,打开这个页面,哎,这是啥,代码审计?
这里有个View the source code,可以查看页面的源码,我们点击看一下!
还真是~~~
页面显示说:你的IP不在允许列表之内,这说明这道题肯定是一个跟IP有关的东西!源码中有这么一段:
如果IP是1.1.1.1,则会输出Key,否则输出错误!现在我们的页面是报错了,说明我们现在的IP不是1.1.1.1,我们要把它改成1.1.1.1,怎么办呢?
但是我们知道,IP不能随便改,那该怎么办呢?
这时候咱们要用到我们的神器BurpSuite
我们先设置代理,然后使得端口和HTTP请求一致,然后设置IP都为127.0.0.1,然后利用BurpSuite进行抓包拦截
然后发送到Repeter,我们可以修改它的头部IP,也就是修改成为1.1.1.1,用到Client-IP: 1.1.1.1命令,点击Go
于是我们就获取到了Key,输入即为结果!
简单介绍一下,Client-IP 是代理服务器发送的HTTP头,通过客户端伪造Client-IP,可以欺骗此程序,达到“伪造 IP ”的目的
