页面是一个登陆表单,需要账号密码,首先f12查看源代码,发现有一段可疑的注释,明显是base64,解码得到test123,似乎是一个类似于密码的东西,既然是管理员,就猜测用户名是admin,填上去试一下哇
看到这里我不会做了,题解中说可以伪造自己是本地管理员,即伪造来源ip,用burpsuite拦包,加一行x-forwarded-for:127:0:0:1,就得到flag了
值得注意的一点是,我一开始用的是client-ip,发现不行,似乎业界的标准是x-forwarded-for,切记切记
原文:https://www.cnblogs.com/fantasquex/p/10417563.html