CTF---Web入门第五题 貌似有点难

貌似有点难分值：20

• 来源： 西普学院
• 难度：难
• 参与人数：7249人
• Get Flag：2519人
• 答题人数：2690人
• 解题通过率：94%

不多说，去看题目吧。

解题链接： http://ctf5.shiyanbar.com/phpaudit/

原题链接：http://www.shiyanbar.com/ctf/32

【解题报告】

这是我入门Web开始写的第五道题，题目标题为貌似有点难，可能真的有点难QAQ，点击解题链接，打开这个页面，哎，这是啥，代码审计？

这里有个View the source code，可以查看页面的源码，我们点击看一下！

还真是~~~

页面显示说：你的IP不在允许列表之内，这说明这道题肯定是一个跟IP有关的东西！源码中有这么一段：

如果IP是1.1.1.1，则会输出Key，否则输出错误！现在我们的页面是报错了，说明我们现在的IP不是1.1.1.1，我们要把它改成1.1.1.1，怎么办呢？

但是我们知道，IP不能随便改，那该怎么办呢？

这时候咱们要用到我们的神器BurpSuite

我们先设置代理，然后使得端口和HTTP请求一致，然后设置IP都为127.0.0.1，然后利用BurpSuite进行抓包拦截

然后发送到Repeter，我们可以修改它的头部IP，也就是修改成为1.1.1.1，用到Client-IP: 1.1.1.1命令，点击Go

于是我们就获取到了Key，输入即为结果！

简单介绍一下，Client-IP 是代理服务器发送的HTTP头，通过客户端伪造Client-IP，可以欺骗此程序，达到“伪造 IP ”的目的