BUUCTF basic BUU BURP COURSE 1 & LFI Labs

已于 2022-12-08 12:00:28 修改
阅读量2.2k 收藏 5
点赞数 2
分类专栏: BUUCTF basic 文章标签: 安全
于 2022-08-27 11:45:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64558270/article/details/126555320
版权

目录

BUU BURP COURSE 1

LFI Labs

BUU BURP COURSE 1

启动靶机,提示只能本地登录,打开burp,刷新一下靶机页面,抓个包

我们需要伪造一个本地ip 

X-Real-ip:127.0.0.1

 点击登录,在登录的http请求头中也要加入本地ip伪造

拿到flag                 flag{ae9e888c-6312-4b81-9fce-60950afbb91d}

LFI Labs

启动靶机,点击LFI-1,进行文件包含:在输入框中输入/flag

 回车,拿到flag

 flag{9715962b-c35d-4108-b790-7a008193ff74}

WmVicmE=
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUU 论坛的编辑器163Editor
09-21
BUU 论坛的编辑器DianUbb.rar
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BUUCTF/BUU BURP COURSE 1
最新发布
weixin_44041994的博客
03-22 296
使用burp suite拦截,在数据包中添加字段:X-Real-IP: 127.0.0.1 以及 Content-Length: 0。在数据包中添加X-Real-IP: 127.0.0.1后发送,成功获得flag。同样打开burp suite拦截后,点击登录。打开靶机提示,页面提示"只能本地访问。发送后进入一个登录界面。输入flag,闯关成功。
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
Burpsuite神器使用介绍
07-07
burpsuite神器使用详细介绍,让你从小白进入大神。
BUUCTF--BUU BURP COURSE 1
qq_46263951的博客
07-09 3743
根据提示只能本地访问我们需要伪造一个本地地址 当使用X-Forwarded-For时发现并没有成功访问,e...我们尝试另一种方法 当使用X-Real-IP时我们可以成功进入 登录进去之后我们即可获得Flag 总结: 本题主要考察伪造本地地址的方法 X-Forwarded-For 和 X-Real-IP 的区别 ...
BUU BURP COURSE 1【basic
weixin_52942048的博客
10-07 351
(2) remote_addr、X-Real-IP、X-Forwarded-For,这3个头参数需要详细了解。(1) 看到这里估计就蒙了,这怎么玩?这提示就是伪造一个本地请求,就是头信息中传一个127.0.0.1;
BUUCTF Basic 解题记录--BUU BURP COURSE 1
weixin_43171033的博客
10-08 943
6、点击登录,在proxy截获的头信息中添加上本地登录的信息 X-Real-IP:127.0.0.1,再转发即可得到flag,成功。3、将proxy的信息转到repeater区域,尝试看看有什么结果,发现有一个默认用户名和密码的登录界面。2、应该使用X-Real-IP,将这里的IP设置成127.0.0.1不就是本地访问了吗,哈哈哈。4、将标红的一段 X-Real-IP:127.0.0.1 加到proxy中,再转发。看题目就能想到肯定跟burpsuite工具相关,直接打开准备分析数据。
BUU BURP COURSE 1
朋克归零膏的博客
09-27 929
BUU BURP COURSE 1
BUUCTF Basic BUU BURP COURSE 1解题WP
风儿轻轻吹
03-27 1896
1.启动靶机 访问靶机发现网页提示只能本机访问: 可能是检查请求头只的X-Real-IP字段。 2.使用BP测试 BP抓包,添加X-Real-IP:127.0.0.1测试,发现返回登录界面且包含登录信息: 3.根据上述信息,更改使用POST方法提交username=admin&password=wwoj2wio2jw93ey43eiuwdjnewkndjlwe 获取flag{69a567b4-7864-47f6-b854-186ad981de40} ...
lfi-labs, 用于实践开发 LFI RFI和CMD注入vulns的小型PHP脚本集.zip
09-18
lfi-labs, 用于实践开发 LFI RFI和CMD注入vulns的小型PHP脚本集 lfi实验室用于实践开发 LFI 。RFI和CMD注入vulns的小型PHP脚本集为什么?用于培训和测试。 你可以测试检测产品( 比如 。 漏洞扫描器),利用工具等。...
BUUCTF记录-Basic
繁华若有光的博客
11-16 4332
本机环境:Windows10 一、Linux Labs 1 题目提示: ssh 用户名:root 密码:123456 地址和端口为动态分配的。 解题思路: 1. 打开cmd控制台,ssh连接靶机,然后输入密码 ssh -p 25836 root@node4.buuoj.cn 2.现在位于用户目录~,cd切换至根目录/,查看根目录下所有文件,发现flag.txt,查看文件内容 二、BUU LFI Course1 题目提示: LFI:本地文件包含 解题思路: 本关考察本地文件包含.
LFI-labs
qq_51558360的博客
09-03 3969
CMD-1 查看源码 没有任何过滤,直接执行payload: ?cmd=whoami CMD-2 如上payload,不过要换成post请求 CMD-3 试一下cmd-1的方法结果很显然 这里就要复习一下这个小知识点了 cmd1|cmd2:不论cmd1是否为真,cmd2都会被执行; cmd1;cmd2:不论cmd1是否为真,cmd2都会被执行; cmd1||cmd2:如果cmd1为假,则执行cmd2; cmd1&&cmd2:如果cmd1为真,则执行cmd2; 上payload:
逗比学CTF.day5
weixin_45963786的博客
01-20 1706
BUU BURP COURSE 1 比较基础的IP伪造题目,基础题get到新的知识点,通过伪造X-Real-IP字段实现本地访问 一、原题无源码 打开后,只提示需要本地访问。 二、伪造xff 一说到伪造IP地址,实现本地访问,第一想到的就是X-Forwarded-For字段 但是仍然提示“只能本地访问”,服务器检测的不是xff这个字段。然后只能去问度娘 X-Real-IP字段映入眼帘 三、伪造X-Real-IP字段 这次不在提示“只能本地访问”,说明IP绕过成功,下面继续看html编码 三、代码分
文件包含漏洞之2LFI-Labs中的的利用和绕过
ISNS的博客
03-30 5379
一、环境搭建 1.环境描述 操作系统:win7 PHP集成环境:phpstudy 源码:LFI-Labs(去GitHub上下载) 将下载好的源码放在phpstudy的WWW目录下。 2.解决报错 如图所示,它会出现以下报错: 我找到的相关资料是: 这样的警告,只是一个因为PHP版本不同而产生的警告(NOTICE或者WARNING),而非错误(ERROR)。PHP中的变量在不声明的情况下使用 的...
BUUCTF Basic 解题记录--Linux Labs
weixin_43171033的博客
09-14 159
BUUCTF
BUUCTF在线评测之Linux Labs 1
热门推荐
weixin_49182737的博客
03-02 1万+
这个测试没什么技术要求,只要了解ssh以及linux系统即可 点击启动靶机,出现的页面 点击所给的http链接,得到如下界面 Index of 这个页面啥也没有,没啥用 返回第一个界面,给出了ssh 以及映射地址和端口(这个地址+端口是随机的) 所以直接启动ssh链接即可 however!!!这里要 banter一下BUUCTF网站的这个Linux Labs 1测试中的这句话 这句话,不仅是说主机可以访问,且只有主机可以访问!!! As we all know,我们最常用的Windows OS没有自带
BUU SQL COURSE 1
07-27
BUU SQL COURSE 1是一个关于SQL注入的课程。在这个课程中,学习者将学习如何通过注入恶意代码来绕过数据库的安全措施,从而获取敏感信息。课程内容包括找到注入点、闭合语句、带入语句进行爆破等技术。通过这些技术...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

WmVicmE=

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值