CTF-来源页伪造

最新推荐文章于 2022-11-16 12:26:33 发布
最新推荐文章于 2022-11-16 12:26:33 发布
阅读量2k 收藏 2
点赞数
分类专栏: 墨者学院
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asd158923328/article/details/100050258
版权

根据题意
在这里插入图片描述
referer的意思简言之,HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。
进入环境,提示“禁止浏览!当前页面只允许从google.com访问。”根据解题方向构造referer=google.com,burp suite抓包提交即可拿到key

Jimmy22
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛中,可利用该工具自动识别编码类型并解码,快速解决misc类别的密码题目。 其他说明: 该工具具备智能判断密码编码类型的功能,大大减少手工判断和重复尝试的时间,使密码解码更为便捷高效。
ctf之xff_referer伪造
qq_53106085的博客
10-17 3597
xff:xff 是http的拓展头部,作用是使Web服务器获取访问用户的IP真实地址(可伪造)。由于很多用户通过代理服务器进行访问,服务器只能获取代理服务器的IP地址,而xff的作用在于记录用户的真实IP,以及代理服务器的IP。格式为:X-Forwarded-For: 本机IP, 代理1IP, 代理2IP, 代理2IP referer:referer 是http的拓展头部,作用是记录当前请求页面来源页面的地址。服务器使用referer确认访问来源,如果referer内容不符合要求,服务器可以拦截或者重定
CTFHub SSRF(服务器请求伪造) WriteUP
tangshuangsss的专栏
08-13 828
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介CTFHub 为网络安全工程师提供网络安全攻防技能培训、实战、技能提升等服务。「赛事中心」提供全网...
实验四 /*CTF实践*/
Tauil的博客
01-07 338
目的:获取靶机Web Developer 文件/root/flag.txt中flag。 基本思路:本网段IP地址存活扫描(netdiscover);网络扫描(Nmap);浏览HTTP 服务;网站目录枚举(Dirb);发现数据包文件 “cap”;分析 “cap” 文件,找到网站管理后台账号密码;插件利用(有漏洞);利用漏洞获得服务器账号密码;SSH 远程登录服务器;tcpdump另类应用。 实施细节如下: 1、发现目标 (netdiscover),找到WebDeveloper的IP地址。截图。 nmap.
Bugku CTF Web bp & 社工-伪造
网安小趴菜
11-16 1241
Bugku CTF Web bp & 社工-伪造 wp
关于CTF
qq_45680080的博客
11-10 274
Web安全 Web安全涉及的内容非常丰富,就典型的Web服务来说,其安全问题可能来自于Web服务器、数据库服务器、以及Web程序本身等。 (1)首先学习Web服务器的配置。了解典型的Web服务器如何构建的,典型的Web服务器包括微软的IISIIS搭建、Apache、 Tomcat 等。 (2)Web程序的开发离不开脚本语言。如何构建一个静态的Web网站搭建静态网站? HTML的开发规则是什么HTM...
[CTF]使用浏览器firefox插件伪装IP地址
Fllowone的博客
12-17 4707
[CTF]使用浏览器firefox插件伪装IP地址  来源:https://jingyan.baidu.com/article/ab0b56306d9890c15bfa7d6a.html 浏览器想必是大家再熟悉不过的东东了,我们会经常使用它访问下载一些页面或文件。但是对于它的更深层次的功能可能就陌生了。比如说一些网站后台会记录我们的IP地址,假如我们处于隐私考虑不希望网站记录真实IP,这时候我...
第七届swpu-ctf-web的writeup
dengzhasong7076的博客
10-29 474
web100 一个上传包含题目:phar可以使用相对路径,zip好像需要绝对路径。 web200-3 拿到web100的shell后,是tip里面提示又tomcat,通过 ps -aux 看到tomcat的网站目录,上传一个shell后就是一个tomcat权限。 然后用国庆期间出来的一个tomcat提权,网上都有一个坑点...就是sh里面油\r字符。 sed -i 's/\r$//' x...
CTF -攻防世界-web新手区
aon8069924165211的博客
08-05 359
直接f12出来 先用get后加/?a=1 然后火狐装hackbar(老版本)f12 post b=2 搞定 Hackbar:https://github.com/Mr-xn/hackbar2.1.3 更简单 直接/robots.txt 有一个php网 再加在后面打开就行 蜘蛛扫描可以访问的网 直接/index.php.bar 会下载一个.bar文件 ...
Chrome-谷歌浏览器-查看http报文-跟踪访问链接
插件开发
06-25 1996
Network->XHR,如下图所示: 产生访问链接,查看对应信息。 POST /userapi/login/login HTTP/1.1 Host: 8.131.79.162 Connection: keep-alive Content-Length: 76 Accept: application/json, text/javascript, /; q=0.01 X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (Windows NT 10
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
ctf-tools-linux-master.zip
06-22
ctf集成工具包-linux版
CTF-Tools-v1.3.5
01-24
CTF-Tools-v1.3.5
ctf-wscan-master.zip
12-08
ctf-wscan-master.zip Linux下安装运行
CTF-BeesCMS系统漏洞分析溯源
asd158923328的博客
08-21 4509
根据题意 漏洞原因:因为BeesCMS后台登陆页面存在sql注入,可以被用来写入一句话木马或者查看管理员密码 进入环境,通过御剑工具扫描网站目录,发现/admin/login.php 首先在用户名 中 输入 ‘ 出现了报错, 确认后台登陆页面的user 有存在sql注入。 然后输入 ‘ or 1=1 # 就返回了正常的登陆失败的页面。 sql 回显可以看出有五个字段 所以尝试 ‘ unio...
CTF-WEB页面源代码查看
asd158923328的博客
08-21 4015
靶场地址: https://www.mozhe.cn/bug/detail/dzE4Qk9GRC9DSzZSWGNuRDlSZzZMZz09bW96aGUmozhe 根据题意 进入页面,因为Javascript禁用鼠标右键,用火狐浏览器按F12,搜索key
WEB页面分析
asd158923328的博客
08-20 3081
靶场地址: https://www.mozhe.cn/bug/detail/enFSUmxHK1pwdDh5dml5dDV6TXBMdz09bW96aGUmozhe 根据题意 进入页面,进行源码分析 输入获得跳转,得到key
CTF-电子数据取证-日志分析(第2题)
asd158923328的博客
08-25 3080
根据题意 进入环境,下载文件,用记事本打开,搜索password 13/Sep/2018:16:37:54 +0800验证得到key
CTF-IP地址伪造(第1题)
asd158923328的博客
08-24 2693
根据题意 进入环境,根据提示,弱口令和系统设置只允许在服务器上登录。 用burp suite抓包,构造X-Forwarded-For:127.0.0.1,进入爆破,登录成功,获得key
ctf-qsnctf此地无银三百
最新发布
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路。具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值