CTF-Web 假猪套天下第一

最新推荐文章于 2023-04-25 21:49:05 发布
最新推荐文章于 2023-04-25 21:49:05 发布
阅读量316 收藏 1
点赞数 1
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74989372/article/details/129998559
版权

 

进入题目,输入admin发现不能登录

 用burp抓取账号123的包,发现该包进行了302跳转,在包中可获得一个跳转地址 用该地址替换掉本目录,得到一个新的页面,用burp抓取新的页面。可知需修改time值

 修改time值999999999999999,得知需要修改本地地址

 添加Cilent-IP头,可得需要添加Referer头

 添加Referer头,可得需添加浏览器版本

 发现该浏览器全称为Commodoer 64,将其添加到UA头后面

 发现需添加邮件头,添加邮件头得

 发现需要添加代理(porxy是代理的意思),加上代理头Vid得

==结尾一看就是base64,解码即可得flag ^_^

 

 

阿厂闯荡安全圈
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BuuCTF做题记录-[BJDCTF 2nd]假猪天下第一
qq_46231152的博客
11-24 345
夹竹桃天下第一!!! 尝试输入admin登入,登陆失败 随便输入一个账号登录,登陆成功 重新返回登录界面提交表单,使用Burp抓包
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
BUUCTF:[BJDCTF 2nd]假猪天下第一
qq_46230755的博客
12-17 1231
先测试一下admin用户,发现会回弹 在测试一下其他账户,发现会进入 (下面那个root点进去是y1ng师傅的网站) 我们试着抓个包,发现存在着一个提示 打开这个L0g1n.php发现里面是 提示99年才能访问,我们回到Burpsuite,看访问L0g1n.php抓的包。发现有个time参数,把他改成非常大 提示发生变化,告诉我们只有主机可以访问进去,考虑用X-Forwarded-For和Client-ip进行绕过 提示显示X-Forwarded-For被过滤了,那么使用Client-ip C.
[BJDCTF 2nd]假猪天下第一
西部壮仔的博客
04-25 1139
随便登陆一个: 用admin登陆试试: 暂时没有好的思路了,抓个包分析一下: 发现L0g1n.php 提示需要99年后,请求头里面有time,修改成一个很大的数字 返回信息变成了需要从本地访问,使用XFF或者Client-ip绕过 现在的提示信息变成了需要来自于gem-love.com,添加Referer头 现在变成了需要使用Commodo 64浏览器,查一下全称是:Commodore ...
buuctf 假猪天下第一
为之的博客
07-11 619
打开后随便写入登录, 而后使用dirmap扫描, 下载下来放到Python-dsstore工具的sample使用 看到一个login。打开后根据其要求慢慢在请求中加入信息 最后base64解码即可 知识点: .DS_Store 文件利用 .DS_Store 是 Mac OS 保存文件夹的自定义属性的隐藏文件。通过.DS_Store可以知道这个目录里面所有文件的清单。 常见请求头:https://blog.csdn.net/u012175089/article/detail.
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
CTF-web学习大纲
01-30
CTF-web学习大纲
ctf-all-in-one
01-30
ctf-all-in-one
[BJDCTF 2nd]假猪天下第一 个人联系分析总结
Flag_duke的博客
11-03 213
小白第一次做CTF,多有疏漏请多多指教,如有侵权请联系删除(图片均为个人截取 一开始看界面,觉得挺正常的,因为课上最后讲的暴力破解。所以当时思维就短路了,然后就是此路不通,GG。 然后我们用“admin”登录一下看看 额,原谅我愣在原地哈哈哈。 然后我们试一试普通的登录。 ???进去了,但是没有任何提示。那就抓个包看看。 然后就发现了一个“.php”的东西,经过查询得知(其实是乱七八糟试半天)这个原来要放在网址那一栏里面555。 就像这样哈 然后就出现这一片粉红中的“on
[BJDCTF 2nd] web题-假猪天下第一
BROTHERYY的博客
08-20 406
复现环境:buuoj.cn 出题人是y1ng师傅~ 使用admin登录有提示框。 使用其他账号登录获取数据包发现有其他页面 访问这个页面 翻译过来,意思是抱歉,此网站将在99年后开放! 抓包发现有时间戳,把时间戳时间添加100年 修改时间戳重发以后会提示 Sorry, this site is only optimized for those who comes from localhost 意思是只能本地用户访问 添加Client-ip进行绕过 添加Referer继续 这里是个UA,替换U
实战篇2:假猪天下第一
aiojay的博客
04-25 302
​BUUCTF在线评测​;假猪天下第一;HTTP头的运用
------已搬运-------BUUCTF:[BJDCTF 2nd]假猪天下第一-----------Header请求头学习!!!
Zero_Adam的博客
02-15 428
了解这个:Header:请求头详解。就全都会了。就,, 不足: 1.tmd。抓包瞎jb抓,有登录页面,不知道抓包的时候输入参数,抓输入参数的时候的包,我真吐了,,,哎,怎么能这么傻啊,我就说。 WP 抓对包了终于。 进来之后,是这样的 没思路,看WP。 说把time修改大了,就变了???这尼玛猜出来ide????? 哦,还是我粗心了,,看他说的嘛,99年之后才能访问,那就把time改的久一点就好了啊,,,, 哎,,,,我的锅。。。 这个easy 现在变成了需要使用Commodo 64浏览器,
[BJDCTF 2nd]假猪天下第一 详细解题思路及做法
EC_Carrot的博客
12-07 343
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 打开是个登录界面,试着登录一下 试着登录一下admin 哦豁,发现登不上,整道题思路以为是注入,稍微注了下发现不是很对劲,抓下包看看发现另有玄机 尝试去访问一下 它说99年后该网页才开放,真信他就有鬼了,看cookie里面有time参数,试着改大点 改大后又说需要本地,这就很熟了┐(´∇`)┌,试着用XFF改本地 哦豁,它直接嘲讽我,
BJDCTF2nd 假猪天下第一 Writeup
Tajang的大千世界
04-11 268
打开靶机后是一个登录页面 我们先输入一个admin和123456试试 真调皮,那我们什么都不输入再登录一次 我真的是越来越喜欢Y1ng师傅出的题了 试了,F12,robots协议,看了网页源代码没发现什么重要内容。在一筹莫展的时候那就抓包。抓包如下: 发送到Repeater,发包。发现如下: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-h5YGqBse-1618120221358)(https://cdn.jsdelivr.net/gh/Tajang-ctf/blo
BugKuCTF路满满的题----------啊哒
qq_42133828的博客
02-13 1811
首先,下载的是一张图片,按照我以往的做题经验,先对图片的属性信息分析一波,即可得到一串字符串 经由十六进制转换为字符串,解密可得 发现得到的key好像没有任何作用,既然有key的话,那么可能在这个图片里,还有隐藏的文件需要使用key才能打开。此时,应该对图片进一步的解析,用nodepad++打开,查找一下是否有关flag的信息: 很明显,有flag.txt这个文件,那么之前得到的...
CTF-四四方方一座城
最新发布
07-08
"CTF-四四方方一座城"通常是指网络安全领域的一种术语,这里的“CTF”全称是Capture The Flag,也就是“夺旗赛”,它是一种竞赛形式,参与者需要通过解决一系列的安全挑战题目,如密码学、逆向工程、漏洞利用等,来获取并提交所谓的“flag”。"四四方方一座城"可能是对比赛场景的一种比喻,代表了一个虚拟的安全环境或者网络空间,参赛者在这个环境中合作或单独作战,寻找隐藏的线索和安全缺口。 在这样的竞赛中,团队协作、技术知识以及解决问题的能力都是非常重要的。每个任务就像是一座有各种门禁系统的城堡,参赛者需要破解密码或找到漏洞才能进入下一个区域。这种活动既能够提升个人的技术水平,也能增强团队间的沟通和配合。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值