[HCTF 2018]admin

已于 2022-09-20 11:02:05 修改
阅读量286 收藏
点赞数 1
分类专栏: buuctf 文章标签: 安全 web安全 CTF
于 2022-02-08 11:44:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pakho_C/article/details/122820393
版权
本文记录了一次在线CTF比赛的经历,参赛者发现一个登录系统只允许admin用户访问。通过查看源码,推测需要注册admin账号或密码爆破。使用Burp Suite的Intruder模块进行密码爆破,但因请求过多收到429错误。最终,通过手动尝试,发现弱口令‘123’即可成功登录,揭示了网站的安全漏洞问题。
摘要由CSDN通过智能技术生成

web第21题
[HCTF 2018]admin
打开靶场
在这里插入图片描述
查看源码
在这里插入图片描述
有登录和注册页面,并且提示你不是admin,应该是要用admin用户进行登录,尝试注册一个admin用户
在这里插入图片描述
提示用户名已存在,应该是密码爆破,直接用burp抓包,发送到intruder模块,尝试进行密码爆破
burpsuite的使用–Intruder模块
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

爆破半天没结果,爆429 太多请求的错误。结果手动尝试弱口令密码123直接登录上了。。。
在这里插入图片描述

pakho_C
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HCTF 2018]admin
夜幕下的灯火阑珊的博客
05-12 969
知识点 unicode欺骗 session伪造 解法一:unicode欺骗 查看源码发现 <!-- you are not admin --> 应该是要注册成admin用户 先注册一个admin1用户,登录后在change password页面查看源码,发现 <!-- https://github.com/woadsl1234/hctf_flask/ --> 访问后可取得源码,部分源码如下 def change(): if not current_user.is_
HCTF2018逆向LuckyStar分析
11-12
HCTF2018逆向LuckyStar分析HCTF2018逆向LuckyStar分析
[HCTF 2018]admin 1
feng的博客
10-20 7005
前言 这题的三种方法都是姿势盲区。。。。第三种方法只给个介绍。。因为好像复现的话不能成功,但是学习学习这种方法的思想。 姿势总结 flask session伪造 unicode欺骗 条件竞争 方法一:flask session伪造 我做题目的时候一直以为这题应该是SQL注入。。。在登录那里被卡了好久。。最后发现屁用都没有。。 首先!我们先注册一个再登录,在change password那里查看源码,可以看到有提示: 但是我并没有看到。。。这题也深深的教会了我,虽然页面可能有点多,源码还是要好好看看。。
[HCTF 2018]admin1
cuddlylm的博客
05-13 1553
Flask的session使用: https://www.jianshu.com/p/278d4f59839d 进去看见注册登录框以为是sql注入,想到和sql-labs有一关有点一样,先随便注册一个账户然后通过这个账户修改admin账户的密码,最后登录admin账户进行信息搜集 不过这题好像不一样 方法一:flask session伪造 刚开始的几个页面没有啥有用的信息,先注册一个登录然后在修改密码界面有一个提示(界面很多,但是没有线索的时候,尽量把所有源码都看完,不有遗漏) falsk中ses.
2018手工更新FlatLab Admin Template
09-15
"2018手工更新FlatLab Admin Template"是一款专为后台管理系统设计的模板,它集成了现代化的设计风格和丰富的功能组件。FlatLab以其扁平化的设计理念,提供了高效且直观的用户界面,使得管理员能够轻松地进行数据...
fastadmin事务管理系统
05-27
FastAdmin事务管理系统 FastAdmin事务管理系统是一种基于Web的事务管理系统,旨在帮助管理员更好地管理事务流程和数据。下面是该系统的一些重要知识点: 登录 Token 设计 FastAdmin的事务管理系统使用 Token-...
canal-admin
02-28
《Canal Admin详解:数据库同步神器的管理平台》 Canal是阿里巴巴开源的一款高效、稳定的数据库实时增量数据订阅与消费组件,广泛应用于大数据同步、实时分析等场景。而Canal Admin则是Canal的管理工具,它为Canal...
Ace Admin 2018.4最新版
04-17
"Ace Admin 2018.4最新版" 提供了最新的更新和改进,确保了开发者可以利用最新的技术进行开发。 Ace Admin 的核心特性包括: 1. **响应式布局**:它支持各种设备,从小屏幕手机到大屏幕桌面,都能提供良好的用户...
fastadmin 七牛云
12-28
《FastAdmin与七牛云集成应用详解》 FastAdmin是一款基于ThinkPHP6开发的后台管理框架,以其高效、简洁和强大的特性深受开发者喜爱。而七牛云则是一家提供云端存储和CDN加速服务的知名云服务商,其产品包括对象存储...
layui-admin框架
最新发布
08-07
layui-admin框架
fastadmin alioss上传
12-28
在IT行业中,FastAdmin是一款基于ThinkPHP5框架的后台管理系统,它提供了丰富的功能和便捷的开发体验。"fastadmin alioss上传"指的是FastAdmin集成了阿里云对象存储服务(OSS)的上传功能,使得用户可以方便地将文件...
fastadmin图标与code浏览
09-01
标题中的“fastadmin图标与code浏览”指的是一款名为FastAdmin的后台管理框架中的图标资源与代码查看功能。FastAdmin是一款基于ThinkPHP5框架开发的高效免费的后台管理系统,广泛应用于各类Web应用的后台开发。它...
dubbo-admin部署亲测
11-25
最近学习dubbo下载了好多都不靠谱,自己下载源码后打包的一个比较好用,希望大家可以有用,访问地址:http://localhost:8080/dubbo-admin-2.5.8
web buuctf [HCTF 2018]admin1
weixin_44214568的博客
03-13 2912
查看首页源代码,有注释 <!-- you are not admin --> 考虑这道题很有可能是用admin或者伪造admin进行登录, 用admin进行登录,随便填写密码进不去,发现页面有注册选项,用admin注册提示已经被注册 方法一:burp爆破 进入登录界面,用户名输admin,密码随便填,抓包对密码进行爆破; 爆破之后,提示429和302,可以看一下429的response,提示的是太多请求的问题, 更改options中的选项 控制数据量,我因为正.
BUUCTF-[HCTF 2018]admin1
Monica的博客
11-15 7370
题目 分析 打开环境,页面啥也没有,日常查看源代码 提示说你不是admin,所以这题可能是我们为admin才可以得到flag 在login页面找到登录框 刚开始以为是sql注入,直接万能密码;结果试了几种方法发现不是报错就是提示用户名密码错误 ...
FastAdmin使用手册:安装与功能详解
"fastadmin.pdf 是一份中文说明文档,详细介绍了 FastAdmin 框架的使用方法、安装过程以及各种功能。FastAdmin 是基于 ThinkPHP6 的后台管理系统,提供了丰富的功能模块,包括一键生成 CRUD、菜单、API 文档、插件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值