Bugku-管理员系统(伪造IP题)

最新推荐文章于 2022-03-16 21:58:16 发布
最新推荐文章于 2022-03-16 21:58:16 发布
阅读量965 收藏 2
点赞数 2
分类专栏: web类 文章标签: Bugku web简单题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChenZIDu/article/details/89041603
版权

需要伪造本地IP
X-Forwarded-For: 127.0.0.1
伪造本地IP,获得flag
题目地址:http://123.206.31.85:1003/
在这里插入图片描述
注意输入得账号密码必须正确!
按F12
查看网页源码
在这里插入图片描述

查过题解,绿色那一串是base64编码
解码之后获得:test64
管理员一般默认 账号是:admin、

输入账号密码;
弹出IP禁止访问;!在这里插入图片描述
然后我们伪造本地IP;
先利用抓包工具抓包;
在这里插入图片描述
获得数据;
右键上传至 Repeater;
加入伪造代码;
X-Forwarded-For: 127.0.0.1
在这里插入图片描述

获得flag:

在这里插入图片描述
(第一次写博客,见谅,从做题笔记中复制得)

ChenZIDu
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF练习[WEB]-本地管理员
weixin_45246254的博客
10-11 3431
https://ctf.bugku.com/challenges/detail/id/79.html 拿到目尝试登陆失败 提示IP禁止访问 抓包发现有注释信息 请求包添加 X-FORWARDED-FOR:127.0.0.1 Referer: localhost admin/test123 伪造本地IP,进行登录,获取flag
【愚公系列】2023年06月 Bugku-Web(本地管理员
最新发布
时光隧道
06-26 5818
是一个HTTP请求头,用于标识客户端(例如浏览器)的IP地址。在某些环境下,因为客户端通过了多个代理服务器来访问服务器,所以服务器不能直接获得客户端的真实IP地址,而只能获取到代理服务器的IP地址。此时,代理服务器会在HTTP请求头中添加一个字段,将客户端的真实IP地址添加到这个字段中。这样,服务器就可以通过解析字段中的IP地址,知道客户端的真实IP地址。例如,如果客户端使用IP1地址访问了一个代理服务器,代理服务器再使用IP2地址访问另一个代理服务器,最终访问了服务器,则HTTP 请求头中的。
网络安全实验室---解密关
Red Rapefruit
08-03 1662
目描述: 以管理员身份登录系统 分值: 450 以管理员身份登录即可获取通关密码(重置即可,无需登录) 通关地址 补充说明:假设除了admin用户,其它用户的邮箱都可被登录获取重置密码的链接
CTF解-Bugku_Web_WriteUp (上)
道阻且长,行则将至。
08-16 8768
BugkuCTF平台是免费的CTF训练平台,目数量多网上解析全面对新手入门友好。 为了划水“强网杯”练习一下,先从Web部分下手…… N0.1 Web2 1、访问靶场链接,花里胡哨: 2、入门,直接查看搜索源码: 3、解决: No.2 计算器 额,这……没啥好所说的,原先限制前端字段输入长度为1,修改前端字段长度的限制即可: No.3 Web$_GET 1、看看解链接: 2、看到这没啥好说的……该提示的都提示了,直接获取 flag: No.4 Web$_POST 1、看看解链接:
Bugku之本地管理员
金 帛的博客
03-16 3069
BugkuWP
易语言伪造请求ip 伪造请求ip 网页访问伪造ip
03-09
易语言伪造网页访问ip地址 结合HTTP扩展请求头 X-Forwarded-For 可以对客户端IP进行伪造 X-Forwarded-For 是一个 HTTP 扩展头部,用来表示HTTP请求端真实 IP,HTTP/1.1 协议并没有对它的定义,但现如今X-Forwarded-...
易语言伪造ip地址 - IP地址计算器
02-20
IP地址计算器 说明:学习使用VUE+html实现快速计算IP地址,可算可用地址、网络地址、最小可用ip、最大可用ip、广播地址。 功能:包含计算可用地址、网络地址、最小可用ip、最大可用ip、广播地址。 使用:打开index....
07FLY-CMS-PHP内容管理系统
08-14
这款CMS(内容管理系统)以其丰富的功能和易用性,降低了企业构建网站的技术门槛和成本。 首先,07FLY-CMS的核心亮点在于其采用的ThinkPHP 5.0框架。ThinkPHP是PHP领域的一个著名框架,以简洁、优雅的代码结构和...
java 伪造http请求ip地址的方法
08-26
这种方法可以应用于各种需要伪造 IP 地址的场景,例如在第三方系统接口对接时,需要将调用方的请求 IP 加入到白名单中。 在正常的 HTTP 请求中,我们可以使用 Apache HttpClient 库来发送 HTTP 请求。例如,以下...
Python-基于PythonDjango的ADExchange管理系统
08-10
【Python-基于PythonDjango的ADExchange管理系统】 在IT领域,构建高效且功能丰富的Web应用程序是常见的需求。这里我们关注的是一个使用Python的Django框架开发的AD(Active Directory)和Exchange管理系统的实现。...
bugku 管理员系统与 X-Forwarded-For
孤的博客
09-12 2889
管理员系统60   http://123.206.31.85:1003/ 答案: The flag is: 85ff2ee4171396724bae20c0bd851f6b 查看网页源代码 在网页源代码中除最后一行注释代码外,没有什么其它值得特别注意的代码 dGVzdDEyMw== 很明显是Base64编码格式,解码: test123 登录 根据返回提示可以看出 肯定...
Bugku web 管理员系统 write up
酉酉的博客
09-07 1万+
打开解网址 很像sql注入的,随便输入个账号先试试 看到这个就想到X-Forwarded-For 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP 伪造一个XFF头,伪装成本地登录 X-Forwarded_For: 127.0.0.1 在来看看源码 这个我一直没发现里面的玄机,怪我太s了,后来才看到在源码的最后面有一个base64的编码 解密为t...
管理员系统
xyx107的博客
10-11 2937
1.管理员系统 http://123.206.31.85:1003/ 首先,没有提示信息为“管理员”“登录” 此外,web通常要查看源代码,在源代码中找提示 绿色字符串后有两个等号,是base64编码,解码后的得到test23(用火狐浏览器在提交过一次后还可以直接看到这串字符,而谷歌浏览器要往下拉才能看到) 管理员登录,可以尝试用户名为admin,password考虑输入b...
BugkuCTF管理员系统(IP禁止访问)
Sandra_93的博客
10-22 3599
IP禁止访问问: 之前做一道时,进入robots.txt,发现要访问/console,然后F12 在网络处编辑和重发消息头,发送后响应有flag, 在头部里加一个字段:X-forwarded-for 伪造一个源ip, X-forwarded-for :127.0.0.1 上面这部分是一次比赛的记录,找不到目,随便看看算了 管理员系统: 又是IP禁止访问的问,想到了在伪造IP: 首先查看...
Bugku web管理员系统
chesterblue的博客
04-01 1245
在做这道时,一开始看到ip被ban,就想在网上查一下怎样伪造ip地址,然后在网上查到了X-FORWARDED-FOR:127.0.0.1,通过这个请求头可以伪造为本地ip,但是怎样尝试都无法得到响应,仔细一看是这句活的位置写错了。。。。 正确位置: ...
Bugku-Web-Wp
热门推荐
Hydra的博客
11-02 3万+
目录   1.web2 2.计算器 3. web基础$_GET 4. web基础$_POST 5.矛盾 6. web3 7. 域名解析 8.你必须让他停下 9.本地包含 10.变量1  11.web5 12.头等舱 13.网站被黑 14. 管理员系统 15.web4  16.flag在index里 17.输入密码查看flag 18.点击一百万次 19. 备份...
bugku ctf 管理员系统 (伪造x-forwarded-for绕过服务器IP)
qq_42777804的博客
05-18 4502
随便输入 发现 ip禁止访问 与本地管理员联系登陆 我们查看源码 到最后发现 <!-- dGVzdDEyMw== --> 在线base64解密得到 test123 Username: admin Password:test123 发现居然还是不能提交 那么burp抓包 发给 repeater 发现了可以通...
Bugku-管理员系统
王嘟嘟的博客
10-07 1745
0x00 2018年10月7日00:00:43 这一道借鉴其他大神完成,给我十个脑子我也想不到需要这样操作。 日常查看源码,这里发现一个base64位的编码。 这个是在用bp抓包的时候才看到的。 解码之后就是test123 使用admin和test123进行尝试,没有反应。 大神是这样说的。 这是XFF头的问。 X-Forwarded-For,它代表客户端,也就是HTTP的请求端真实的IP,...
如何避免利用x-forwarded-for伪造ip
05-20
为了避免利用 X-Forwarded-For 伪造 IP,可以采取以下措施: 1. 使用反向代理服务器:反向代理服务器可以拦截 HTTP 请求,并且可以从 TCP 连接中获取客户端真实 IP 地址。使用反向代理服务器可以防止攻击者通过直接访问服务器来伪造 IP。 2. 使用防火墙:防火墙可以监控网络流量,过滤掉来源 IP 地址不合法的请求,以此来防止攻击者伪造 IP。 3. 检查 IP 地址合法性:在应用程序中,可以对 X-Forwarded-For 中的 IP 地址进行检查和过滤,只接受合法的 IP 地址。 4. 限制并发连接数:限制每个 IP 地址的并发连接数,可以防止攻击者通过伪造多个 IP 地址来进行 DoS 攻击。 需要注意的是,以上措施并不能完全杜绝利用 X-Forwarded-For 伪造 IP 的攻击,因此还需要结合其他安全措施来提高应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值