Bugku-管理员系统

题目:

随便输入后

则估计要用ip绕过(使用X-Forwarded-For)

查看源代码

注意到了右边的滚动条很长,拉到最后

发现一条注释,内容应该是经过base64加密的,因为最后是‘==’

解码

这是啥呢?

先使用burpsuit,随便输入账号密码,构造

X-Forwarded_For: 127.0.0.1

发现行不通

之后就不知道怎么办了,问了度娘后,发现登录账号是‘admin’,密码是‘test123’

就得到了flag。。。

回过来看这道题,为啥自己想不到账号密码

再看一下题目信息

管理员系统

IP禁止访问,请联系本地管理员登陆,IP已被记录.

有‘管理员’这个词(联想到admin)

看来做题还要会猜啊