题目说明:ipspoofing
1.打开链接后,来到一个页面,浏览一番,在页脚发现一个后台入口administrator,点击进去
2.在后台页面随意输入账号密码点击提交,登陆失败,提示我的ip不在许可范围内
3.查看页面源码,在源码中发现后台默认登陆的账号和密码administrator,administrator
4.再次提交,用burp抓包–>send to repeater–>go,在页面返回的内容中发现注释内容:许可ip:localhost/127.0.0.1
5.在请求头中添加x-forwarded-for:127.0.0.1
用户名和密码改为administrator,administrator
get flag!
