題目說明:ipspoofing
1.打開鏈接後,來到一個頁面,瀏覽一番,在頁腳發現一個後臺入口administrator,點擊進去
2.在後臺頁面隨意輸入賬號密碼點擊提交,登陸失敗,提示我的ip不在許可範圍內
3.查看頁面源碼,在源碼中發現後臺默認登陸的賬號和密碼administrator,administrator
4.再次提交,用burp抓包–>send to repeater–>go,在頁面返回的內容中發現註釋內容:許可ip:localhost/127.0.0.1
5.在請求頭中添加x-forwarded-for:127.0.0.1
用戶名和密碼改爲administrator,administrator
get flag!
