BugkuCTF-WEB-管理员系统

最新推荐文章于 2024-05-11 05:44:13 发布
最新推荐文章于 2024-05-11 05:44:13 发布
阅读量2.2k 收藏 1
点赞数 1
分类专栏: BugkuCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34449006/article/details/84122530
版权

 

 


 

  • 打开题目随便输入了一下,发现IP禁止访问了,所以打算F12看看有啥猫腻 - -

 

这么长的滚动条,肯定有猫腻拖下去瞅瞅有啥提示点,发现一处提示的地方,得到一串base64加密

解密得到test123,尝试一下user:admin,pass:text123,结果还是不行,仍然提示 “IP禁止访问,请联系本地管理员登陆,IP已被记录.”

 

 

  •     遂想能不能伪装成本地管理员进行登陆,在这里进行伪装本地登录

 

 

OK,最终得到flag,大功告成,虽然这道题目不是很难,猜解user和pass的时候需要发挥一些脑洞,需要多观察一些地方,这道题考察的地方应该主要是通过添加修改X-Forwarded-For : 127.0.0.1 来进行伪装本地登录

 

 

Jaychouzz_k
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
admin后台系统管理(三)
陈十一yi
05-12 752
使用xadmin替换admin,使后台系统功能更为完善 创建应用 使用python .\manage.py startapp user创建user应用;应用名称可自取 在项目的setting.py中添加创建的应用 安装相关依赖包 使用pip install安装以下依赖包: future==0.15.2 httplib2==0.9.2 django-reversion==2.0.0 django-formtools==1.0 django-crispy-forms==1.6.0 django-import-
apachecn#apachecn-ctf-wiki#BugkuCTF-WEB解题记录-11-15_weixin_3069946
07-25
BugkuCTF WEB解题记录 11-15_weixin_30699463的博客-CSDN博客来源:
BugKuCTF WEB 管理员系统
无限迭代中......
07-08 1281
http://123.206.31.85:1003/ 题解: 工具: Burp Suite 开发者工具 尝试 版本一 开发者工具 base64编码 dGVzdDEyMw== base64解码 test123 可能是密码 抓包 send to Intrduer start attack send to Repeater...
2024年最全四叶草云演-CTF04# 后台管理系统,2024年最新巩固知识体系
最新发布
2401_84544531的博客
05-11 656
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
bugku 管理员系统与 X-Forwarded-For
孤的博客
09-12 2891
管理员系统60   http://123.206.31.85:1003/ 答案: The flag is: 85ff2ee4171396724bae20c0bd851f6b 查看网页源代码 在网页源代码中除最后一行注释代码外,没有什么其它值得特别注意的代码 dGVzdDEyMw== 很明显是Base64编码格式,解码: test123 登录 根据返回提示可以看出 肯定...
BugkuCTFWeb--管理员系统
VZZmieshenquan的博客
02-08 1790
Description: http://123.206.31.85:1003/ flag格式flag{} Solution: 查看源代码,发现一段Base64,解码得test123因为是管理员登录,Username考虑是admin,密码使用解码出来的test123 结果出现IP禁止访问本地管理员……说不定是伪造IP头,在Headers里添加一对键值对 X-Forwarded-For: 12...
bugku 管理员系统 后台代码_【CTF web入门第三篇】我在bugku 的web入门
weixin_39615991的博客
11-20 376
我在bugku 的web入门今日入门13题bugku-ctf 第一题:web2复制链接,打开http://123.206.87.240:8002/web2/打开后是一个动图,看的我眩晕对于一个小白来说,看到这个图真的是一脸懵。。。。。。然后想到我前天分享的,ctf web常见解题思路:直接查看页面源代码,既可以找到flag。...
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-Web-Challenge:使用PHPWeb中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
CTF-web学习大纲
01-30
CTF-web学习大纲
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CTF-WEB[GXYCTF 2019]BabyUpload
02-08
CTF-WEB[GXYCTF 2019]BabyUpload
bugkuctf解题-杂项
05-04
bugku writeup,杂项解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
ctf-all-in-one
01-30
ctf-all-in-one
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
BugkuCTF_管理员系统
qq_46635165的博客
09-21 715
打开解题网址,一个账户密码登录界面,并尝试管理员身份登录,出现一行提示: 一开始以为是SQL注入题,经过尝试后确定不是,然后又回到题目看提示,提示是本地管理员登录,本地两个字,想到一种叫做 本地 IP 伪造的说法,然后网上查了一下,专业术语叫做 XFF 头伪造:具体详请请看转载博客:点这里 具体做法: 1,首先使用抓包工具,把页面的数据包抓取: 然后在请求头部 Headers 添加 X-Forwarded-For:127.0.0.1 : go一下,出现凭证无效提示: 仔细一想,此时缺的是一个管理员的密
云演CTF: 008.后台管理系统
wanguixiu的博客
06-10 1129
云演CTF: 008.后台管理系统 作者: admin 时间: 2021-05-31 分类: 云演CTF 右下角点击注册了个test用户,提示管理员才能拿到flag,再注册admin用户,返回用户已存在,尝试注册"admin ",注册成功拿到flag,想想不应该这么简单,百度"基于约束的sql注入",sql中字段有固定的长度,超出的部分就丢弃...
bugku ctf sqli-0x1题解
03-23
bugku ctf是一个CTF(Capture The Flag)比赛平台,提供各种类型的安全挑战题目供参赛者解答。sqli-0x1是其中一个SQL注入题目,下面是该题目的解题思路: 1. 题目描述:sqli-0x1是一个简单的SQL注入题目,要求获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值