CTF实战练习:web-Loginme
本文为看雪论坛优秀文章
看雪论坛作者ID:H3h3QAQ
package middlewareimport ("github.com/gin-gonic/gin")func LocalRequired() gin.HandlerFunc {return func(c *gin.Context) {if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" {c.AbortWithStatus(403)return}ip := c.ClientIP()if ip == "127.0.0.1" {c.Next()} else {c.AbortWithStatus(401)}}}
Gin is a web framework written in Go (Golang). It features a martini-like API with performance that is up to 40 times faster thanks to httprouter. If you need performance and good productivity, you will love Gin.-------------------------------------------------------------------------------Gin 是一个用 Go (Golang) 编写的 Web 框架。它具有类似martini-like的 API,由于 httprouter,性能提高了 40 倍。如果您需要性能和良好的生产力,您会喜欢 Gin。
func LocalRequired() gin.HandlerFunc {return func(c *gin.Context) {if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" {c.AbortWithStatus(403)return}ip := c.ClientIP()if ip == "127.0.0.1" {c.Next()} else {c.AbortWithStatus(401)}}}
if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" {c.AbortWithStatus(403)return}
1、首先构造ip伪造;
2、在age变量中存在ssti信息泄露出flag;
看雪ID:H3h3QAQ
https://bbs.pediy.com/user-home-921448.htm
# 往期推荐
球分享
球点赞
球在看
点击“阅读原文”,了解更多!
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注KnowSafe微信公众号随时掌握互联网精彩
- UpSnap基于Web的开源局域网唤醒解决方案
- SequoiaDB 巨杉数据库金融级分布式关系型数据库
- 华为汪涛:以创新基础设施,释放数字生产力,携手客户和伙伴迈向智能世界!
- 自学编程,从月薪500到年薪150万,46岁程序员的IT成长之路
- 历史上的今天:字节跳动收购 Musical.ly;PlayStation 之父诞生;早期的女性计算机先驱
- 人物 | 非夕机器人刘歆轶:夙夜在公,云淡风轻
- 不会写代码也能当程序员?无代码来了,是福还是祸?
- 历史上的今天:AT&T 成立;全球最大分布式计算项目正式停止;家酿俱乐部首次会议
- 历史上的今天:电池的发明者出生;Netsky 蠕虫问世;全美最大的电脑连锁店开业
- 微信回应在后台反复读取用户相册;淘特将接入微信支付;Facebook为一周两次宕机道歉|极客头条
- iQOO 7体验报告:超能电竞,释放旗舰本能
- 云原生网络代理(MOSN)的进化之路
赞助链接
