bugku web 管理员系统

最新推荐文章于 2024-05-30 15:07:12 发布
最新推荐文章于 2024-05-30 15:07:12 发布
阅读量91 收藏
点赞数 1
分类专栏: ctf 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l181954187/article/details/137208294
版权

先随便输入账号密码提交,然后F12看源码,发现ip被禁止,并且有一行注释。

是base64编码解码便得到密码test123,然后还差账户,抓包试试,因为ip被禁止访问了,所以要伪造访问头,X-Forward-For:127.0.0.1。XFF头,代表客户端,作用是获得HTTP请求端真实的IP。因为是管理员系统,盲猜账号是admin,

发送得到flag

leoleo!
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
bugkuctf解题-WEB
05-04
bugku writeup,web解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
bugku题的web类解析
01-29
这个是我自习写的bugkuweb的解析,其中四个题因为各种原因没有做出来,分别为welcome to bugku,孙xx的博客,login2,login4。也许有写的不好的地方,见谅,
Bugku web管理员系统
chesterblue的博客
04-01 1240
在做这道题时,一开始看到ip被ban,就想在网上查一下怎样伪造ip地址,然后在网上查到了X-FORWARDED-FOR:127.0.0.1,通过这个请求头可以伪造为本地ip,但是怎样尝试都无法得到响应,仔细一看是这句活的位置写错了。。。。 正确位置: ...
Bugku web 管理员系统 write up
热门推荐
酉酉的博客
09-07 1万+
打开解题网址 很像sql注入的题,随便输入个账号先试试 看到这个就想到X-Forwarded-For 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP 伪造一个XFF头,伪装成本地登录 X-Forwarded_For: 127.0.0.1 在来看看源码 这个我一直没发现里面的玄机,怪我太s了,后来才看到在源码的最后面有一个base64的编码 解密为t...
Bugku 本地管理员
Welcome To Myon'Blog !
05-30 653
Bugku 本地管理员,本地访问,bp的简单抓包改包放包
Bugkuweb 管理员系统
qq_26961571的博客
06-23 297
​这是第一次接触有关账号密码的题目了,需要提交表单的那种。 打开网址之后。 有一点像SQL注入的题目,所以还是老规矩,先打开我们最喜欢的源代码查看,看有木有线索【好像侦探 啥都木有啊啊啊啊!!! 不死心,再试试提交表单之后的情况。随便乱输入了账号和密码提交。 IP禁止访问???难道说这是有关IP的题目。 继续查看源代码 也是出来这行字,其他什么都没有。 等等...【脑海中想起蔡徐坤的wait w...
bugku 本地管理员
m0_62709637的博客
07-04 474
bugku 本地管理员
Bugku---本地管理员
2201_75556700的博客
03-07 848
【代码】Bugku---本地管理员
BugKuCTF WEB 管理员系统
无限迭代中......
07-08 1272
http://123.206.31.85:1003/ 题解: 工具: Burp Suite 开发者工具 尝试 版本一 开发者工具 base64编码 dGVzdDEyMw== base64解码 test123 可能是密码 抓包 send to Intrduer start attack send to Repeater...
BugkuCTF-WEB-管理员系统
烟雨天青色
08-27 2108
打开题目是如上图界面,网页给了一个登陆的页面,刚看起来还有点像SQL注入的样子,打开源代码看一下: 源代码里确实有点东西,有一个经过base64编码的字符串,先解码看一下: 解码之后结果为test123,猜想一下,这既然是一个后台的管理员系统,用户名指定为admin,那么这个执行就是密码没错了,填上测试一下: 出事了,输入username和password之后,网页提示“IP...
bugku-本地管理员
qq_38634097的博客
04-23 299
- dGVzdDEyMw== --> ,有因为字符串以=结尾,判断是base64编码,利用在线解码工具得到值为test123.但是不确定该值是账号还是密码,管理员账号一般为admin,暂且猜测test123为密码,在登陆框输入admin/test123.还是提示IP已被记录。打开场景是登录框,尝试弱口令登录,这里我使用的弱口令有:admin/123456、admin/888888、admin/admin、admin/admin23等。根据提示,可以想到更换IP,于是利用HTTP协议的xff跟换IP。
bugku web题INSERT INTO注入.docx
05-16
bugku web题INSERT INTO注入 明确注入点,是走的http报头的x-forwarded-for。  我尝试了bool型注入,发现自己构造的语句在自己数据库中会报错,但是这里并没有错误报告,因此考虑基于时间的盲注
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 看到url上的参数有base64,解码发现是key.txt 把改参数换成index.php,观察发现line按行返回 所以自己练练手写了个脚本跑出来
web留言板
06-06
设计一个简单的基于Web的留言板,要求如下:1)系统中所有页面,如果用户没登录,则让用户返回到登录页面login.jsp(说明:login.jsp页面填写用户的用户名和密码);2)留言板(message.jsp)页面中以表格的形式...
记录一次前端页面崩溃的产生及处理
最新发布
weixin_51123079的博客
05-30 393
记录一次前端页面崩溃的产生及处理
Vue3实战笔记(52)—Vue 3封装持仓分析饼图
山花的博客
05-30 309
接上文,封装持仓分析饼图。封装好几个组件,用于后续开发。把忧愁煮成茶,让它在心间慢慢沉淀,剩下的,便是清甜的回味。
【JS实战案例汇总——不定时更新版】
微木
05-30 205
练习JS的实用案例
web前端三大主流框架
低调做人,低调编码,神码都是浮云
05-30 866
Web前端三大主流框架介绍:Angular、React、Vue
bugku sodirty
09-03
- *1* *3* [Bugku解题 web 【四】](https://blog.csdn.net/weixin_46703850/article/details/115184847)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

leoleo!

您的慷慨将激励我创作更多内容

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值