web 管理员系统
打开链接后会看到需要输入账号密码的选项:
一般情况先F12(有的电脑设置为Fn+F12)查看页面代码我发现了一串注释的Base64密码:
可能为密码,,,接着我们猜账号一般为“admin”,密码输入刚才注释的Bese密码(需要解码),
即使这样我们页面还是不变,
一般看到这种提示:需要想到
“X-Forwarded-For”:
简称XFF,它代表客户端,是HTTP请求端真正的IP
方法:伪造一个XFF请求端,伪造成本地登录
X-Forwarded_For: 127.0.0.01
然后用burpsuit抓包,