[网络协议]墨者-网络安全

某防火墙默认口令

打开网址看到 天清汉马USG防火墙

用谷歌搜索默认账号密码

系统默认的管理员用户为admin，密码为venus.usg。
系统默认的审计员用户为audit，密码为venus.audit。
系统默认的用户管理员用户为useradmin，密码为venus.user。
通过三个账号依次测试，用户管理员账号密码输入成功后拿到key。

浏览器信息伪造

题目打开页面要求用苹果手机2G查看，同时提到从微信6.0开始，其内嵌的浏览器在User Agent字符串中增加了NetType

我们先搜索一下NetType,发现一篇文章：web浏览器信息伪造

点击文章进行抓包，将测试数据Mozilla/5.0 (iPhone; CPU iPhone OS 8_0 like Mac OS X)AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12A365 MicroMessenger/6.0NetType/2G替换user-agent

HTTP动作练习

这里涉及到知识点：

• get与post区别之一：GET请求在URL中中传送的参数是有长度限制的，而POST没有

热点评论刷分漏洞分析溯源

这个题要求500赞，但是我们只能1赞，也就是我们要不停的换ip

经典利用x-forwarded-for伪造大量ip（intrunder爆破）

攻击结束后，关闭代理即可

投票常见漏洞分析溯源

这个题集中了伪造ip和user-agent

来源页伪造

安全工程师“墨者”在访问一个网页时，提示只能通过另一个页面跳转的方式访问，这该如何办？
referer修改为http:google.com

IP地址伪造(第1题)

先对账号密码进行爆破，得到值

输入进去出现提示：只能在服务器登陆。

了解了环回地址后添上X-Forwarded-for: 127.0.0.1

服务器返回数据查看

浏览器怎么查看服务器返回的数据？

F12 →网络→开始捕获