CTF实战练习:web-Loginme
本文为看雪论坛优秀文章
看雪论坛作者ID:H3h3QAQ
package middlewareimport ("github.com/gin-gonic/gin")func LocalRequired() gin.HandlerFunc {return func(c *gin.Context) {if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" {c.AbortWithStatus(403)return}ip := c.ClientIP()if ip == "127.0.0.1" {c.Next()} else {c.AbortWithStatus(401)}}}
Gin is a web framework written in Go (Golang). It features a martini-like API with performance that is up to 40 times faster thanks to httprouter. If you need performance and good productivity, you will love Gin.-------------------------------------------------------------------------------Gin 是一个用 Go (Golang) 编写的 Web 框架。它具有类似martini-like的 API,由于 httprouter,性能提高了 40 倍。如果您需要性能和良好的生产力,您会喜欢 Gin。
func LocalRequired() gin.HandlerFunc {return func(c *gin.Context) {if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" {c.AbortWithStatus(403)return}ip := c.ClientIP()if ip == "127.0.0.1" {c.Next()} else {c.AbortWithStatus(401)}}}
if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" {c.AbortWithStatus(403)return}
1、首先构造ip伪造;
2、在age变量中存在ssti信息泄露出flag;
看雪ID:H3h3QAQ
https://bbs.pediy.com/user-home-921448.htm
# 往期推荐
球分享
球点赞
球在看
点击“阅读原文”,了解更多!
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注KnowSafe微信公众号随时掌握互联网精彩
- 现代化浏览器Arc 开启Windows版下载测试
- 微信客服:HarmonyOS NEXT版微信正在开发中 适配工作进展顺利
- 历经 64 次更新,开发者倡议“产品别在周五上线”!惹争议后,其 AI 工具意外爆火,结果崩了
- 诸子笔会2022 | 孙瑜:别让远程办公成为信息安全的隐形杀手
- 记一次新型变种QakBot木马分析
- 百家智库 | 项目:第三方SDK安全合规分析报告
- 测测自己对消费者权益的理解,赢取丰富奖品
- 腾讯ROG游戏手机5系列发布:新姿势,实力派
- 线程与进程,你真的清楚吗?
- 小米 11 不送充电器;苹果已修复 iCloud 登录激活问题;Ruby 3.0.0 发布|极客头条
- 人物 |绿盟科技曹嘉:做管理就是做服务
- 非盈利网站有必要安装HTTPS证书吗?
赞助链接
