一、知识点分析看到本地 / localhost时需要立刻联想到localhost 127.0.0.1其中127.0.0.1 本机回环地址Loopback作用自己访问自己在 Web 中服务器通常认为127.0.0.1 本地访问因此很多后台、管理页面、内部接口会限制仅允许本地访问二、题目逻辑推测后端可能存在类似判断if($ip127.0.0.1) { echo $flag; }正常访问流程浏览器 ↓ Web服务器服务器获取到的是我们的真实 IP真实 IP ≠ 127.0.0.1因此无法获取 Flag。三、利用点X-Forwarded-ForHTTP 请求头X-Forwarded-For作用记录客户端原始 IP例如X-Forwarded-For: IP0, IP1, IP2含义IP含义IP0用户真实 IPIP1第一个代理服务器IP2第二个代理服务器如果服务器直接信任该请求头则存在伪造风险。四、攻击思路使用 Burp 抓包后将请求发送到Repeater。添加请求头X-Forwarded-For: 127.0.0.1请求流程变成浏览器 ↓ XFF:127.0.0.1 ↓ Web服务器服务器误认为访问来源 本地 IP 127.0.0.1最终返回 Flag。五、Burp 实战过程抓包然后发送到repeater输入ip