BugkuCTF web12_本地管理员 writeup

最新推荐文章于 2024-03-07 15:41:48 发布
最新推荐文章于 2024-03-07 15:41:48 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: CTF 文章标签: unctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mitchell_Donovan/article/details/111480321
版权

web12_本地管理员

原题链接

key:base64解码+XFF伪造请求头

①查看源代码发现了线索,拿去base64解码得到字符串‘test123'

②猜测用户名admin,密码test123,尝试登陆,发现登陆失败

③题干反复强调”本地",可以想到用伪造XFF请求头来访问

知识补充:伪造XFF头(IP欺骗)

④burpsuite抓包,送到repeater,然后在请求头部 Headers 添加 X-Forwarded-For:127.0.0.1,go一下即可得到flag

Mitch311
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
bugkuctf解题-WEB
05-04
bugku writeup,web解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
bugku ctf misc wp.pdf
07-05
bugku ctf misc wp.pdf
Bugku---本地管理员
最新发布
2201_75556700的博客
03-07 809
【代码】Bugku---本地管理员
bugku-本地管理员
2202_75317918的博客
03-02 385
bugku 本地管理员
Bugku之本地管理员
金 帛的博客
03-16 2988
BugkuWP
【愚公系列】2023年06月 Bugku-Web(本地管理员
时光隧道
06-26 5798
是一个HTTP请求头,用于标识客户端(例如浏览器)的IP地址。在某些环境下,因为客户端通过了多个代理服务器来访问服务器,所以服务器不能直接获得客户端的真实IP地址,而只能获取到代理服务器的IP地址。此时,代理服务器会在HTTP请求头中添加一个字段,将客户端的真实IP地址添加到这个字段中。这样,服务器就可以通过解析字段中的IP地址,知道客户端的真实IP地址。例如,如果客户端使用IP1地址访问了一个代理服务器,代理服务器再使用IP2地址访问另一个代理服务器,最终访问了服务器,则HTTP 请求头中的。
CTF_Competitions_Writeup:周大福比赛作品集
04-13
CTF_Competitions_Writeup 这是我解决的一些CTF竞赛挑战文章的集合。
ctf_writeup:来自 Balsn 的 CTF 文章
08-03
Balsn CTF 报道Balsn 是来自台湾的 CTF 团队,成立于 2016 年。我们积极参与 CTF 比赛,并发表有关挑战的文章。 在我们的 GitHub 存储库中,这些文章采用 markdown + kaTeX 格式。 有关更多信息,请参阅。目录 ...
bugkuctf解题-杂项
05-04
bugku writeup,杂项解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
bugku:POST,头等舱,GET, 网站被黑,bp,alert,你必须让他停下来,本地管理员
m0_73721944的博客
04-14 750
查看源代码读题,我们看到要用get的方式就要知道在url中找到flag,再看if后面的语句即可得到flag。POST则不在url上请求参数,通过Hackbar或者burpsuite传参,bp在请求报文下方传参如。1.GET通常是在url上请求参数,在网址后跟一个?可以用HackBar插件 postdate,也可以用bp抓包改为post传参。用bp抓包后发送给重发器repeater,在他返回的数据包里即可找到flag。3.bp抓包的话,一个页面可以有很多请求所以有很多包,但一次只能拦截一个包。
BUGKU-WEB 本地管理员
天泽岁月
02-16 371
BUGKU-WEB 本地管理员,绕开限制
Bugku 本地管理员
Welcome To Myon'Blog !
05-30 646
Bugku 本地管理员,本地访问,bp的简单抓包改包放包
CTF学习第十八站——BugKu的本地管理员
qq_41174589的博客
10-14 179
通过反馈得知此题考查XFF伪造,用burp抓包,新增X-Forwarded-For:127.0.0.1,将Origin和Referer后的参数修改为127.0.0.1,得到flag。先查看页面源代码,在一堆n后面找到一个奇怪的注释,看到两个等号,base64解码后得到text123。
BUGKU--本地管理员
m0_65766842的博客
03-01 118
1
bugku:POST、头等舱、网站被黑、alert、你必须让他停下、本地管理员、bp
lulu001128的博客
03-01 1381
解题过程
BugkuCTF-WEB题本地管理员
am_03的博客
08-25 1699
基础知识: base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一类基于64个可打印字符来表示二进制数据的方法。 XFF伪造请求头: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原本的IP地址的HTTP请求头字段。 简单来说,XXF是告诉服务器当前请求者的最后ip的http请求头字段,通常可以直接通过修改http头里的X-Forwarded-For字段来仿造请求的最后ip。 打开场景: 为一个登录界面 尝试输
bugku 本地管理员
m0_62709637的博客
07-04 469
bugku 本地管理员
ctf web知识点 markdown
11-24
在 CTF Web 中,我们经常需要使用 Markdown 来编写 Writeup 或记录漏洞分析过程。了解如何使用 Markdown 的编辑器、插件或在线平台可以更快地编写文档并且更好地展示我们的成果。 综上所述,掌握 Markdown 的知识点...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mitch311

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值