打开网址看到 天清汉马USG防火墙
用谷歌搜索默认账号密码
系统默认的管理员用户为admin,密码为venus.usg。
系统默认的审计员用户为audit,密码为venus.audit。
系统默认的用户管理员用户为useradmin,密码为venus.user。
通过三个账号依次测试,用户管理员账号密码输入成功后拿到key。
题目打开页面要求用苹果手机2G查看,同时提到从微信6.0开始,其内嵌的浏览器在User Agent字符串中增加了NetType
我们先搜索一下NetType,发现一篇文章:web浏览器信息伪造
点击文章进行抓包,将测试数据Mozilla/5.0 (iPhone; CPU iPhone OS 8_0 like Mac OS X)AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12A365 MicroMessenger/6.0NetType/2G替换user-agent
这里涉及到知识点:
这个题要求500赞,但是我们只能1赞,也就是我们要不停的换ip
经典利用x-forwarded-for伪造大量ip(intrunder爆破)
攻击结束后,关闭代理即可
这个题集中了伪造ip和user-agent
安全工程师“墨者”在访问一个网页时,提示只能通过另一个页面跳转的方式访问,这该如何办?
referer修改为http:google.com
先对账号密码进行爆破,得到值
输入进去出现提示:只能在服务器登陆。
了解了环回地址后添上X-Forwarded-for: 127.0.0.1
浏览器怎么查看服务器返回的数据?
F12 →网络→开始捕获