CTF实战练习:web-Loginme
本文为看雪论坛优秀文章
看雪论坛作者ID:H3h3QAQ
package middlewareimport ("github.com/gin-gonic/gin")func LocalRequired() gin.HandlerFunc {return func(c *gin.Context) {if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" {c.AbortWithStatus(403)return}ip := c.ClientIP()if ip == "127.0.0.1" {c.Next()} else {c.AbortWithStatus(401)}}}
Gin is a web framework written in Go (Golang). It features a martini-like API with performance that is up to 40 times faster thanks to httprouter. If you need performance and good productivity, you will love Gin.-------------------------------------------------------------------------------Gin 是一个用 Go (Golang) 编写的 Web 框架。它具有类似martini-like的 API,由于 httprouter,性能提高了 40 倍。如果您需要性能和良好的生产力,您会喜欢 Gin。
func LocalRequired() gin.HandlerFunc {return func(c *gin.Context) {if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" {c.AbortWithStatus(403)return}ip := c.ClientIP()if ip == "127.0.0.1" {c.Next()} else {c.AbortWithStatus(401)}}}
if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" {c.AbortWithStatus(403)return}
1、首先构造ip伪造;
2、在age变量中存在ssti信息泄露出flag;
看雪ID:H3h3QAQ
https://bbs.pediy.com/user-home-921448.htm
# 往期推荐
球分享
球点赞
球在看
点击“阅读原文”,了解更多!
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注KnowSafe微信公众号随时掌握互联网精彩
- Tiro Notes:一款开源、跨平台、灵活易用、高度可扩展的 Markdown 编辑器
- 华为天才少年稚晖君被曝离职;苹果 A16“挤牙膏”原因曝光;Ruby 3.2.0 发布|极客头条
- 历史上的今天:第一位图灵奖女性得主;NVIDIA 收购 MediaQ;首届网络安全挑战大赛完成
- Shokz韶音OpenRun Pro:为运动而“声”
- 在看|一周网安回顾(2022.2.19-2022.2.25)
- realityOS会是苹果的新操作系统吗?
- 如何用OpenGL绘制雪花?
- 信任科技,拥抱开放,应对全球共同挑战
- 指掌易创始人兼CEO王伟:“老本行”在横琴焕发“新活力”
- 微信回应在后台反复读取用户相册;淘特将接入微信支付;Facebook为一周两次宕机道歉|极客头条
- 高通发布第2代5G固定无线接入平台,面向家庭和企业提供10Gbps 5G连接
- CSDN湘苗培优|高起点步入职场,快人一步!
赞助链接
