CTF实战练习:web-Loginme
本文为看雪论坛优秀文章
看雪论坛作者ID:H3h3QAQ
package middlewareimport ("github.com/gin-gonic/gin")func LocalRequired() gin.HandlerFunc {return func(c *gin.Context) {if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" {c.AbortWithStatus(403)return}ip := c.ClientIP()if ip == "127.0.0.1" {c.Next()} else {c.AbortWithStatus(401)}}}
Gin is a web framework written in Go (Golang). It features a martini-like API with performance that is up to 40 times faster thanks to httprouter. If you need performance and good productivity, you will love Gin.-------------------------------------------------------------------------------Gin 是一个用 Go (Golang) 编写的 Web 框架。它具有类似martini-like的 API,由于 httprouter,性能提高了 40 倍。如果您需要性能和良好的生产力,您会喜欢 Gin。
func LocalRequired() gin.HandlerFunc {return func(c *gin.Context) {if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" {c.AbortWithStatus(403)return}ip := c.ClientIP()if ip == "127.0.0.1" {c.Next()} else {c.AbortWithStatus(401)}}}
if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" {c.AbortWithStatus(403)return}
1、首先构造ip伪造;
2、在age变量中存在ssti信息泄露出flag;
看雪ID:H3h3QAQ
https://bbs.pediy.com/user-home-921448.htm
# 往期推荐
球分享
球点赞
球在看
点击“阅读原文”,了解更多!
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注KnowSafe微信公众号随时掌握互联网精彩
- KittenTTS :不用 GPU、不联网!8 种真人音色随选随播,轻到离谱(仅25MB)
- Kopia 开源的备份工具,主打轻量级、快捷和灵活。
- URLOS,基于Docker容器的服务器运维管理面板
- 大师登场,Snapdragon Sound骁龙畅听技术赋能Cleer ARC 3音弧打造沉浸无缝的聆听体验
- 美国前总统特朗普亦在泄露名单之中,黑客在线兜售四亿推特用户数据
- 微软欲模仿“微信”,打造一款超级 App?
- 网安星播客 | 李薛:网络战:对抗国家级APT攻击
- 【看雪】亮相新耀东方——2021上海网络安全博览会
- UAF之CVE-2012-4969漏洞分析
- 带你玩转几种不同的编程语言
- 盘点 | 2020网安职场回顾与总结:黑天鹅下,风雨兼程
- Azure 助力下,C9 电竞战队所向披靡!
赞助链接
