Bugku---本地管理员

最新推荐文章于 2024-08-23 07:43:21 发布
最新推荐文章于 2024-08-23 07:43:21 发布
阅读量986 收藏 7
点赞数 17
文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75556700/article/details/136534231
版权
本文讲述了作者通过尝试错误法、查看源码并解码Base64字符串,最终使用抓包工具伪造IP地址获取网站管理权限的过程,揭示了网络安全中的技术攻防策略。
摘要由CSDN通过智能技术生成

1.题目描述

2.点开链接,页面提示如下

3.用户名尝试输入admin,密码随便输入123,发现还是不可以,这里提示需要本地管理权限。

4.ctrl+u查看源码,在一大串n的后面出现了一小段base64编码

5.将字符串base64解码,猜测test123可能是登录密码

6.尝试登录发现还是不行

7.接下来使用抓包工具,先输入账号密码,同时把代理打开,点击登录,捕获数据包

8.接下来,伪造ip地址为本地,点击Forward

X-Forwarded-For: 127.0.0.1

9.页面得到回显,得到flag

10.

flag{fa3bd5efdb53019ad08ad330f5fd235c}

不拿flag不改名
关注
bugku-web12-本地管理员
weixin_50774579的博客
05-24 1487
1.查看源代码发现了线索,base64解码得到字符串‘test123' 2.管理员默认账号admin,密码test123,登录,提示IP禁止访问,请联系本地管理员登陆,IP已被记录. burp拦截,发到repeater, 添加http头X-Forwarded-For: 127.0.0.1,即可 也可以用hackbar直接在浏览器上完成,这个比较简单。 要注意!X-Forwarded-For: 127.0.0.1(IP前面要有一个空格) base64解码+XFF伪造请求头 知识点:以...
Bugku--CTF-- 1、本地管理员 2、网站被黑
记录笔记
07-07 1326
Bugku--CTF--1、本地管理员 2、网站被黑
本地管理员(BUGKU)
赶不上早饭的博客
10-08 522
本地管理员 正文 打开链接查看源码发现一串base64编码 对其进行base64解码得到test123,应该是密码。尝试用admin/登陆,提示IP禁止访问 题目是本地管理员,看题解后才知道要联系到本地管理员登陆,burp抓包伪造XFF头 然后发送即可得到flag ...
bugku 本地管理员
m0_62709637的博客
07-04 516
bugku 本地管理员
ctf-bugku 本地管理员
最新发布
weixin_43256484的博客
08-23 253
2.尝试登陆,用户名密码设置为test123后,返回“IP禁止访问,请联系本地管理员登陆,IP已被记录”,遂修改登录ip。BP抓包后发至Repeater,在请求头中增加X-Forwarded-For:127.0.0.1。这不就是本地登录ip嘛,毕竟让联系本地管理员登录。并进行弱口令尝试,用户名密码test123/admin test123,不行的话加字典进intruder进行爆破。1.F12看到注释dGVzdDEyMw== ,Base64解码后发现为test123。3.登录成功获得flag。
bugku-本地管理员
2202_75317918的博客
03-02 426
bugku 本地管理员
BugKu-----本地管理员
qq_45616570的博客
06-24 1069
title: BugKu-----本地管理员 date: 2021-06-24 19:48:44 description: 前言:零度安全搭建博客后的第N篇文章 top: categories: BugKu刷题 tags: 网络安全 BugKu BugKu-----本地管理员 题目 解题思路 本地管理员可以联想到的是ip的问题,又是xxf 解题过程 先尝试用admin/admin进行登录,发现ip被记录。需要本地管理员 使用插件X-Forword将ip修改为127.0.0.1 源码里看到的b.
BugkuCTF-WEB题本地管理员
am_03的博客
08-25 1864
基础知识: base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一类基于64个可打印字符来表示二进制数据的方法。 XFF伪造请求头: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原本的IP地址的HTTP请求头字段。 简单来说,XXF是告诉服务器当前请求者的最后ip的http请求头字段,通常可以直接通过修改http头里的X-Forwarded-For字段来仿造请求的最后ip。 打开场景: 为一个登录界面 尝试输
Bugku-WEB-writeup(持续学习中~)
devil_sad的博客
11-12 3367
滑稽 打开题目发现一堆笑脸怼脸 按F12直接查看网页源代码即可获得flag 计算器 打开之后发现需要计算并输入验证码,可只能输入一位数字 我们可以右键单击输入框审查元素把maxlength改成3,使得我们能在验证框输入三位数 输入验证码即可得到flag 或者我们也可以直接点击上文中红框中的"js/code.js"也可以直接查看flag POST 通过阅读代码得知$what=='flag'即可得到flag 可是我们直接在URL后输入无法得到flag,于是...
BUGKU-WEB
wojiushilsy的博客
02-22 544
5.矛盾 打开链接,内容如下: $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } is_numeric():检测字符串是否只由数字组成,如果字符串中只包括数字,就返回Ture,否则返回False。(注意是只包括数字) 要求我们不能输入纯数字1,但是num...
Bugku之本地管理员
金 帛的博客
03-16 3315
BugkuWP
BUGKU-WEB 本地管理员
天泽岁月
02-16 561
BUGKU-WEB 本地管理员,绕开限制
BUGKU--本地管理员
m0_65766842的博客
03-01 148
1
BugKu_本地管理员
Kobalos的博客
07-28 956
访问目标地址,可以看到是一个管理员登陆页面 f12查看源码,发现一段base64加密的字符串 解码结果为test123,因为是管理员系统,所以暂时猜测账号密码为,admin/test123 尝试登录发现失败了,显示ip禁止访问 联想到题目是本地管理员,所以尝试XFF-IP伪造 点击发包,成功在返回包中发现flag 注: ...
Bugku-web-本地管理员
qq_68457525的博客
06-26 391
ctf练习之修改文件头实现本地登录
Bugku web12 本地管理员
weixin_44522540的博客
02-22 1454
八、web12 本地管理员 打开发现有一串nnn,看下源码 发现一串被注释掉的字符串,猜测base64编码,解码后是test123,应该是密码。尝试用admin/test123登陆,IP被禁了 应该就不是爆用户名和密码的问题了 又题目描述本地管理员,联系本地管理员登陆,burp抓包伪造XFF头 go一下就得到flag啦 ...
【愚公系列】2023年06月 Bugku-Web(本地管理员
时光隧道
06-26 5839
是一个HTTP请求头,用于标识客户端(例如浏览器)的IP地址。在某些环境下,因为客户端通过了多个代理服务器来访问服务器,所以服务器不能直接获得客户端的真实IP地址,而只能获取到代理服务器的IP地址。此时,代理服务器会在HTTP请求头中添加一个字段,将客户端的真实IP地址添加到这个字段中。这样,服务器就可以通过解析字段中的IP地址,知道客户端的真实IP地址。例如,如果客户端使用IP1地址访问了一个代理服务器,代理服务器再使用IP2地址访问另一个代理服务器,最终访问了服务器,则HTTP 请求头中的。
bugku- 本地管理员
m0_62094846的博客
10-24 249
需要输入username和password,查看源代码 有这样一串特殊符号,看着应该是base64加密过的,解密得到test123 Username猜测是admin,密码是test123 如果账号密码是正确的,问题应该就是“管理员系统”了,可以尝试改变IP地址 用burp添加xff就可以得到flag了 ...
bugku chatgpt-1
10-09
ChatGPT是一种由OpenAI训练的大型语言模型。它的原理是基于Transformer架构,通过预训练大量文本数据来学习如何生成人类可读的文本,然后通过接受输入并生成输出来实现对话。 ChatGPT的用途非常广泛,可以用于自然...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值