0814_DAY3_ctf

最新推荐文章于 2024-08-19 08:00:00 发布
最新推荐文章于 2024-08-19 08:00:00 发布
阅读量210 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51170293/article/details/119699350
版权
本文介绍了CTF挑战中涉及的Http头部欺骗,包括修改Referer和User-Agent,以及解决X-Forwarded-For问题来获取flag。还提到了URL参数改变和Base64解码来探索潜在的代码逻辑。此外,文章讨论了Linux命令执行漏洞,如通过管道符执行命令,并以具体题目为例解释了如何利用这些技巧。
摘要由CSDN通过智能技术生成

原题链接:https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]Http
在这里插入图片描述
在这里插入图片描述
打开发现没啥东西哦
右键查看网页源码
在这里插入图片描述
点开
在这里插入图片描述
它不是来自于 巴拉巴拉这个网站 故我们用burp抓包 把来源改成此
referer HTTP Referer是header的一部分,当浏览器发送请求的时候带上Referer,告诉服务器该网页是从哪个页面链接过来的。
在这里插入图片描述
改包的话 从repeater改
在这里插入图片描述
第一步add referer
第二步 发包 send
第三步看到提示 浏览器不是巴拉巴拉 故再尝试改包
在这里插入图片描述

User Agent
User Agent,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等
在这里插入图片描述
同理哦 改user-agent 发包 看到它说 “”不!你只能本地登录“”
那就改成localhost咯

X-Forwarded-For

最低0.47元/天 解锁文章
白鹿0820
关注
CTF_打卡DAY3
煤矿路口西的博客
06-02 771
跟着《深入浅出密码学——常用加密技术原理与应用》学 P32-P50 第2章《序列密码》 线性反馈移位寄存器(LFSR) 简单公式:假设初始状态位s0,s1,s2,则输出位 s3=s1+s0 mod 2 s4=s2+s1 mod 2 s5=s3+s2 mod 2 …… 综上 s(i+3)=s(i+1) +s(i) mod 2 (或s(i+3)=s(i+1)⊕s(i)) 习题 2.1 (1)解密以下密文: bsaspp kkuosp rsidpy dkawoa (2)该年轻人是如何被谋杀的? 注:由于本
CTF之IP伪造
King
09-13 5405
原题如下: 解题思路: 题目告诉我们该网站还没发布到网上,也就是说它需要在本地访问,现在我们需要想办法来访问这个网站取得flag 显然我们要进行IP地址伪造 我们通过抓包获得HTTP请求头部的信息,发现请求头中并没有XFF的信息,于是就在末尾加上了XFF X-Forwarded-For:127.0.0.1 最后,将请求头重新发送,就得到了flag ...
Bugku CTF web28(Web)
ChaoYue_miku的博客
03-11 874
0、打开网页,查看提示:请从本地访问 是比较常见的套路了,抓包修改到本地地址访问即可 1、使用BrupSuite抓包,添加XFF为127.0.0.1(伪装成本地访问) 2、得到flag:flag{4b82c6932a819980662e5ee0f5bb6b2e} ...
CTF】修改本地IP
star3119391396的博客
08-19 194
记录一些修改本地IP的方法,多备份一些,防止一些简单的过滤。
实验吧CTF-Who are you?
ncafei的博客
03-13 5476
原文地址   http://www.jianshu.com/p/5d34b3722128 Who are you http://www.shiyanbar.com/ctf/1941 题目: 我要把攻击我的人都记录db中去! 格式ctf{} 解题: 访问链接,页面显示your IP is XX.XX.XX.XX,知道这是一个关于IP伪造。 尝试
CTF 全讲解:[SWPUCTF 2021 新生赛]Do_you_know_http
两个月亮
10-07 1782
HTTP 请求报文中的 User-Agent 请求头是一个用来 标识发送请求的客户端(通常是浏览器或其他网络应用程序)的字符串。这个字符串通常包含了客户端的应用程序名称、版本号、操作系统信息和一些其他相关的信息,用来 帮助服务器识别请求的来源。User-Agent 请求头的 主要目的 是为了让服务器能够根据客户端的不同特性来适配响应内容,以提供更好的用户体验。
蓝鲸ctf web篇
qq_42520737的博客
08-09 2026
1、本地登陆 打开链接f之后出现返回信息getout 仅允许本地登陆  那么本地登陆的ip为127.0.0.1  登陆的admin=0,那么需要登陆则为1 flag:{Why_ar3_y0u_s0_dia0}   2、find me 页面源码     3、 http呀 题目提示很明显,存在跳过,将.html后缀改为.php  发现还是自动跳转原来的页面,证明存在东西就直接进行抓...
CTF_打卡DAY11
煤矿路口西的博客
06-10 235
跟着《深入浅出密码学——常用加密技术原理和应用》学 P141-169 第六章《公钥密码学简介》 回顾: 对称密码学: (1)加密和解密使用相同的密钥 (2)加密函数和解密函数非常相似 【类比为只有一把锁的保险箱】 非对称密码学: Alice创造了该密码,Bob有一世人皆知的加密密钥,他接受到明文后用保密的解密密钥进行解密。 【类比邮筒,大家都可投信,但只有拥有钥匙的邮差可以打开】 欧几里得算法gcd i=1 do i=i+1 ri=r(i-2) mod r(i-1) while ri !=0 return
CTF_打卡DAY16
煤矿路口西的博客
06-15 284
跟着《深入浅出密码学——常用加密技术原理和应用》学 P225-243 第九章《椭圆曲线密码体制》 椭圆曲线定义 加“+” 相宜点相加P+Q 相同点相加P+P 表达式: 点P的逆元 群操作的示例: Hasse’s 定理 点乘中的Double-and-Add算法 基于椭圆曲线的Diffie-Hellman密钥交换 示例: 习题 9.1 请计算以下曲线对应群内的加法: (1) (2,7)+(5,2) 请只使用便携式计算器。 由题意得,a=2 (1)s=(3x1^2+a)/2y1=1
CTF_打卡day15
煤矿路口西的博客
06-14 459
跟着《深入浅出密码学——常用加密技术原理和应用》学 P211-225 第八章《基于离散对数问题的公钥密码体制》 Elgamal加密方案 示例: 习题 8.1 (1) | a | 1 | 2 | 3 | 4 | |–|--| | ord(a) | 1 | 4 | 4 | 2 | a^1=1 a^1=2 ; a^2=4 ; a^3=8=3mod5 ; a^4=16=1mod5 a^1=3 ; a^2=9=4mod5 ; a^3=27=2mod5 ; a^4=81=1mod5 a^1=4 ; a^2=16=
CTF-web】修改请求头(XFF)
Sankkl1的博客
08-13 996
该请求标头是一个事实上的用于标识通过代理服务器连接到 web 服务器的客户端的原始 IP 地址的标头。我们可以通过伪造XFF头来假装本地登录,即在request头中加入。随意输入后可以看到需要本地管理员登录,得知这是一道需要修改XFF头的题。
CTF-IP地址伪造(第2题)
asd158923328的博客
08-24 2592
根据题意 进入环境,根据提示“只有台湾地区的ip才能登录。“和测试账号猜测test账号。burp suite进行登录抓包进行弱密码爆破,构造X-Forwarded-For:140.113.215.224 (ip地址是台湾的即可)。点击GO发送,得到网页反馈信息,伪造地区IP地址成功,获得key。 ...
基于matlab平抑风电波动的电-氢混合储能容量优化配置【含Matlab源码 期】.zip
09-27
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
dynamic_unet-0.0.2-py3-none-any.whl
最新发布
09-27
dynamic_unet-0.0.2-py3-none-any.whl
基于Java语言的动态二维码生成与绘制设计源码
09-27
该项目是一款基于Java语言的动态二维码生成与绘制设计源码,包含126个文件,包括64个JAR包、24个PNG图片、17个GIF动画、10个XML配置、7个Java源文件、2个Markdown文件、1个Idea项目配置文件和1个JPG图片文件。该项目通过图像生成动态二维码,适用于需要动态二维码绘制的场景。
go1.23.1.linux-amd64.tar.gz
09-27
golang linux amd63 sdk
JavaScript高分作品《微信小程序-图书馆管理系统》+源代码+文档说明
09-27
<项目介绍> - 微信小程序—图书馆管理系统 - 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
ctf_awd_platform
10-23
CTF(Capture The Flag)即夺旗赛,是一种网络安全竞赛形式。AWD(Attack-Defense)平台是一种特殊的CTF比赛平台,主要专注于攻击和防御的技能训练与比拼。 ctf_awd_platform是指一种特定的AWD平台,其目的是为了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值