Bugku:web 管理员系统

最新推荐文章于 2022-03-07 17:07:37 发布
最新推荐文章于 2022-03-07 17:07:37 发布
阅读量317 收藏 1
点赞数
分类专栏: CTF Bugku web 文章标签: 安全 安全漏洞 数据安全 信息安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26961571/article/details/106916019
版权
CTF 同时被 3 个专栏收录
95 篇文章 4 订阅
订阅专栏
Bugku
94 篇文章 2 订阅
订阅专栏
web
32 篇文章 2 订阅
订阅专栏

​这是第一次接触有关账号密码的题目了,需要提交表单的那种。

 

 

打开网址之后。

 

 

有一点像SQL注入的题目,所以还是老规矩,先打开我们最喜欢的源代码查看,看有木有线索【好像侦探

 

 

啥都木有啊啊啊啊!!!

 

不死心,再试试提交表单之后的情况。随便乱输入了账号和密码提交。

 

 

IP禁止访问???难道说这是有关IP的题目。

 

继续查看源代码

 

 

也是出来这行字,其他什么都没有。

 

等等...【脑海中想起蔡徐坤的wait wait wait

 

这个源代码好像有点长啊??!!

 

 

最底端显示这是一串神秘代码不是么?

 

搜素在线解密工具。

 

 

好的,这个大概就是账号或者密码了。

 

俗话说得好,账号一般都是admin。不是么???【无辜的眼神

 

可是还是解决不了IP禁用问题,打开BurpSuite开始抓包。

 

 

这里的时候页面就展示不出来了,所以一定要点一下Forward!!!!!【坑死人

 

点击之后就正常了。然后得输入账号和密码,进入POST这个阶段才行。

 

 

选择里面的POST包,放在Repeater里打开。

 

 

在Repeater中的左边面板中,加入一行从网上查资料的字。

 

这里加入这行字的时候要注意下面得空一行,否则运行不了,相当于是表达头部和内容的分开,很严格。

 

 

 

 

看到flag出来了,神奇!!不过为什么要加入这行字就可以避开IP问题呢?我们要深挖细掘一下。

 

X-Forwarded-For:是一个请求头,格式是

X-Forwarded-For:client, proxy1, proxy2

简称XFF,表示设置代理IP等,所以这里就可以使用本地IP 127.0.0.1 来表示想要直接经过本地运行这个网页。

 

看来还是需要多见识,才能知道遇到这种情况时的一种思路。不简单呀。

 

 

最近有几个人关注我了,再接再厉!!大家一起努力吧~~~~嘻嘻嘻

 

酥酥糖学习
关注
专栏目录
BugKuCTF WEB
让我再浪一会 的博客
11-24 906
文章目录BugKuCTF WEB一、web2二、计算器三、web基础$_GET四、web基础$_POST五、矛盾六、web3七、域名解析八、你必须让他停下九、变量1十、web5十一、头等舱十二、网站被黑十三、管理员系统十四、web4十五、flag在index里十六、输入密码查看flag BugKuCTF WEB 平台地址 一、web2 进入网页,查看源代码,在其中找到flag 二、计算器 进入网页,根据题目可得知需要输入运算结果,但限制了输入的数字的个数,查看网页的JS代码,将 maxlength =
BugkuCTF:网站被黑;管理员系统web4
s0il的博客
01-27 1366
网站被黑 后台扫描工具(第一次用),御剑扫描:                  除了我们看到的index.php,还有shell.php: 访问一波,要密码,flag应该隐藏在这个密码后边:                                                    用Burp suite爆破: 浏览器选择burpsuite代理,打开监视,访问网站,输入密...
bugku web 管理员系统
weixin_30386713的博客
02-22 126
页面是一个登陆表单,需要账号密码,首先f12查看源代码,发现有一段可疑的注释,明显是base64,解码得到test123,似乎是一个类似于密码的东西,既然是管理员,就猜测用户名是admin,填上去试一下哇 看到这里我不会做了,题解中说可以伪造自己是本地管理员,即伪造来源ip,用burpsuite拦包,加一行x-forwarded-for:127:0:0:1,就得到flag了 值得...
Bugku web管理员系统
chesterblue的博客
04-01 1268
在做这道题时,一开始看到ip被ban,就想在网上查一下怎样伪造ip地址,然后在网上查到了X-FORWARDED-FOR:127.0.0.1,通过这个请求头可以伪造为本地ip,但是怎样尝试都无法得到响应,仔细一看是这句活的位置写错了。。。。 正确位置: ...
bugku(web)本地管理员
m0_62709637的博客
11-30 2770
进入场景发F12查看源代码发现提示:dGVzdDEyMw== 根据末尾的等号很容易联想到该密码是base64; base64在线解码得到:test123(这就是密码) Username为admin(从大佬博客里嫖(貌似是因为管理员系统为提示)的不大理解为什么,希望各位小伙伴不吝赐教) 将密码和用户名输入后点击submit显示无法登录,之后用bp抓包 在proxy界面==》右键send to repeatr(快捷键ctrl+r)==》 在row下添加X-Forworded-For:1...
bugku 管理员系统
qq_42728977的博客
12-19 144
http://m.bubuko.com/infodetail-3138873.html 插入X-Forwarded-For 127.0.0.1
Bugku web 管理员系统 write up
酉酉的博客
09-07 1万+
打开解题网址 很像sql注入的题,随便输入个账号先试试 看到这个就想到X-Forwarded-For 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP 伪造一个XFF头,伪装成本地登录 X-Forwarded_For: 127.0.0.1 在来看看源码 这个我一直没发现里面的玄机,怪我太s了,后来才看到在源码的最后面有一个base64的编码 解密为t...
bugku-web12-本地管理员
weixin_50774579的博客
05-24 1487
1.查看源代码发现了线索,base64解码得到字符串‘test123' 2.管理员默认账号admin,密码test123,登录,提示IP禁止访问,请联系本地管理员登陆,IP已被记录. burp拦截,发到repeater, 添加http头X-Forwarded-For: 127.0.0.1,即可 也可以用hackbar直接在浏览器上完成,这个比较简单。 要注意!X-Forwarded-For: 127.0.0.1(IP前面要有一个空格) base64解码+XFF伪造请求头 知识点:以...
BugkuCTF-WEB-管理员系统
Jaychouzzk
11-16 2317
      打开题目随便输入了一下,发现IP禁止访问了,所以打算F12看看有啥猫腻 - -   这么长的滚动条,肯定有猫腻拖下去瞅瞅有啥提示点,发现一处提示的地方,得到一串base64加密 解密得到test123,尝试一下user:admin,pass:text123,结果还是不行,仍然提示 “IP禁止访问,请联系本地管理员登陆,IP已被记录.”         ...
bugkuctf web 部分wp(自己看得懂)
LJW_wenjingli7的博客
12-15 2556
1.本地管理员 进入网址,查源码,异常的一串n,拉进度条看 == 是base64,解出test123 ,像密码。 这种未知的系统一般要爆破,随便填账号密码,连接代理,打开bp 右键发到repeater,去掉cookie请求,用XXF伪造请求IP,(能考虑到管理员可能是admin,直接省略改名)改user=admin,发送即可 **XXF: X-Forwarded-For:(HTTP的请求端真实的IP) 如题中的:X-Forwarded-For:127.0.0.1 XFF注入..
BugKuCTF WEB 管理员系统
无限迭代中......
07-08 1321
http://123.206.31.85:1003/ 题解: 工具: Burp Suite 开发者工具 尝试 版本一 开发者工具 base64编码 dGVzdDEyMw== base64解码 test123 可能是密码 抓包 send to Intrduer start attack send to Repeater...
bugku 管理员系统与 X-Forwarded-For
孤的博客
09-12 2915
管理员系统60   http://123.206.31.85:1003/ 答案: The flag is: 85ff2ee4171396724bae20c0bd851f6b 查看网页源代码 在网页源代码中除最后一行注释代码外,没有什么其它值得特别注意的代码 dGVzdDEyMw== 很明显是Base64编码格式,解码: test123 登录 根据返回提示可以看出 肯定...
IP欺骗(XFF头等)
Sea_Sand息禅
11-16 8841
很多时候需要伪造一些http头来绕过WAF 1.X-Forwarded-For: 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。标准格式如下:X-Forwarded-For: client1, proxy1, proxy2。...
Bugku-管理员系统
王嘟嘟的博客
10-07 1765
0x00 2018年10月7日00:00:43 这一道题借鉴其他大神完成,给我十个脑子我也想不到需要这样操作。 日常查看源码,这里发现一个base64位的编码。 这个是在用bp抓包的时候才看到的。 解码之后就是test123 使用admin和test123进行尝试,没有反应。 大神是这样说的。 这是XFF头的问题。 X-Forwarded-For,它代表客户端,也就是HTTP的请求端真实的IP,...
BugkuCTF】Web--管理员系统
VZZmieshenquan的博客
02-08 1822
Description: http://123.206.31.85:1003/ flag格式flag{} Solution: 查看源代码,发现一段Base64,解码得test123因为是管理员登录,Username考虑是admin,密码使用解码出来的test123 结果出现IP禁止访问本地管理员……说不定是伪造IP头,在Headers里添加一对键值对 X-Forwarded-For: 12...
Bugkuweb 基础$POST
热门推荐
qq_26961571的博客
04-29 1万+
bugku小白菜练习中,web方向基础题。 点开网址之后 看到最关键信息if里面的语句,就知道要让这个what=flag以echo出flag。 今天学习一下web中GET 和 POST 的用法。 最简单的区别是: ---------------------------------------------- 1.Get是从服务器上获取数据,Post...
Bugku:逆向 树木的小秘密
qq_26961571的博客
03-07 5866
题目太简单了,又打开了一道新题目, 看到是reverse,直接关闭Kali,打开了XP系统, 在IDA里面进行查看的时候感觉有很多函数,摸不着头脑。 还有py字样,所以可以看出是一个使用pyinstaller打包为exe的文件。使用一个pyinstxtractor.py的工具进行反编译。 下载地址: https://nchc.dl.sourceforge.net/project/pyinstallerextractor/dist/pyinstxtractor.py
Bugku:杂项 look
qq_26961571的博客
03-07 4793
好久不见了大家又,不是摸鱼去了,是考OCP数据库认证去了 。原来考这个证的重点是“刷题库”,只要把题库背了即可通过。但还是学习了很多数据库的知识,要为下一个目标做准备了。 打开这道小题, 下载文件之后是一个打不开的bmp图片,所以使用winhex直接看看。 看到了熟悉的50 4B,大概就懂了,这是zip文件的格式,需要修改为zip。 修改后果然可以打开,里面是另一个bmp文件, 没有看到有什么特别的。 使用Kali中的zsteg进行bmp图片隐写解密, .
解密Bugku CTFMisc挑战:社工与二维码解析
"bugku ctf misc wp.pdf 是一个关于CTF比赛解题的writeup,主要涉及了社工和编码解密方面的知识。" 在CTF(Capture The Flag)竞赛中,"Misc"通常指的是各种混合类题目,涵盖广泛的知识领域,包括但不限于密码学、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

酥酥糖学习

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值