基礎知識：
base64: 是網(wǎng)絡上最常見的用于傳輸8Bit字節(jié)碼的編碼方式之一，Base64就是一類基于64個可打印字符來表示二進制數(shù)據(jù)的方法。
XFF偽造請求頭: X-Forwarded-For（XFF）是用來識別通過HTTP代理或負載均衡方式連接到Web服務器的客戶端最原本的IP地址的HTTP請求頭字段。

簡單來說，XXF是告訴服務器當前請求者的最后ip的http請求頭字段，通常可以直接通過修改http頭里的X-Forwarded-For字段來仿造請求的最后ip。

打開場景：

為一個登錄界面
嘗試輸入幾個值，下方有IP禁止訪問，請聯(lián)系本地管理員登錄
提示IP地址禁止訪問，這道題這似曾相識的感覺，讓我想到了一個html的請求頭的參數(shù)：
X-Forwarded-For，它是一個 HTTP 擴展頭部。HTTP/1.1（RFC 2616）協(xié)議并沒有對它的定義，它最開始是由 Squid 這個緩存代理軟件引入，用來表示 HTTP 請求端真實 IP。如今它已經(jīng)成為事實上的標準，被各大 HTTP 代理、負載均衡等轉發(fā)服務廣泛使用，并被寫入 RFC 7239（Forwarded HTTP Extension）標準里。
所以，該參數(shù)也可以用來IP偽造
那么我們構造請求頭

此處偽造XFF頭
查看源碼

發(fā)現(xiàn)base64編碼，解碼為test123

Test123為已知的，那么要么用戶名是它，要么密碼是它，你可以分開爆破，最后發(fā)現(xiàn)用戶名為admin
一般情況管理員賬戶默認為admin，不管監(jiān)控還是網(wǎng)站，只要不改，賬戶一般都為admin，密碼為123456

在發(fā)送包里添加
X-Forwarded-For:127.0.0.1
在響應包里得到flag

總結

以上是生活随笔為你收集整理的BugkuCTF-WEB题本地管理员的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。