重点知识：系统区分法，响应码,client-ip限制，抓https包的方法

 区分网站系统方法：网址后面修改大小写，大小写报错证实是linux，返回正常正常是windows
    Server：使用的容器
     有时候能够看出是否有waf回显

 

   响应吗：
          200：客户端请求成功，常见
          302：重定向
          404：请求资源不存在  常见
          400：客户护短请求语法错误，不能被服务器所理解
          401：请求未经受权
          403：服务器收到请求，可是拒绝提供服务
          500：服务器内部错误，  常见   菜刀访问报500可能被waf拦截了
          503：服务器不能处理客户端请求，一段时间后恢复

    若是被client-ip给限制了ip好比：burp暴力破解  被限制ip能够在破解时候的请求头里设置一个client-ip:1.1.1.1把1.1.1.1都设置成变量就能够边跑密码边换Ip（这个办法比较麻烦）方法二：burp插件“fakeip”在extender(扩展)BAPP xxxx  找到后设置变量，再去爆破选项选择扩展生成，选择fakeip 在设置密码，直接攻击