一、进入目标站点、查看源代码,没有什么发现
二、查看网站的robots.txt文件,发现存在/console路径
三、进入/console路径,查看源代码,没有发现
四、打开burp suite,设置代理,准备进行ip伪造
五、进行X-Forwarded-For伪造,发现408请求超时错误。
六、在试试X-Real-Ip伪造,同样是408错误。
七、试一下Client-Ip伪造,发现flag。
八、在多次尝试后发现,X-Forwarded-For伪造也可以获得flag。
九、那么为什么一开始使用X-Forwarded-For伪造就不行呢,在我多次试验后发现,如果Request中XFF伪造行后面有2个或以上空行时,可以得到flag,否则就会是408错误。
1.成功:
2.失败
相关文章:
-
2021-05-15
-
2021-11-24
-
2022-12-23
-
2022-12-23
-
2021-11-02
-
2021-12-04
-
2021-12-06
-
2021-07-13
猜你喜欢
-
2021-09-01
-
2021-07-06
-
2022-12-23
-
2022-12-23
-
2021-05-10
-
2022-12-23
-
2021-09-03
相关资源
-
下载
2022-12-23
-
下载
2023-01-16
-
下载
2023-04-04
-
下载
2023-03-28