Bugku web 管理员系统 write up

最新推荐文章于 2024-05-11 02:14:15 发布
最新推荐文章于 2024-05-11 02:14:15 发布
阅读量1.3w 收藏 6
点赞数 1
分类专栏: write up 文章标签: Bugku write up
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41725312/article/details/82499277
版权

打开解题网址

很像sql注入的题,随便输入个账号先试试

看到这个就想到X-Forwarded-For

简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP 

伪造一个XFF头,伪装成本地登录

X-Forwarded-For: 127.0.0.1

在来看看源码

这个我一直没发现里面的玄机,怪我太s了,后来才看到在源码的最后面有一个base64的编码

解密为test123,猜测应该是管理员密码

Burp抓包,然后转到Repeater模块中

Go得到了flag,转换为flag格式.ok

酉酉囧
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
BugKuCTF WEB
让我再浪一会 的博客
11-24 510
文章目录BugKuCTF WEB一、web2二、计算器三、web基础$_GET四、web基础$_POST五、矛盾六、web3七、域名解析八、你必须让他停下九、变量1十、web5十一、头等舱十二、网站被黑十三、管理员系统十四、web4十五、flag在index里十六、输入密码查看flag BugKuCTF WEB 平台地址 一、web2 进入网页,查看源代码,在其中找到flag 二、计算器 进入网页,根据题目可得知需要输入运算结果,但限制了输入的数字的个数,查看网页的JS代码,将 maxlength =
个人笔记——bugku管理员系统
m0_61100491的博客
08-09 148
试过test123后又得到这个页面(刚开始是没有“IP禁止访问.....IP已被记录”的,这是个提示)试了多次后,鬼使神差的重新刷新了下页面,点了下submit,然后bp出现了不一样的参数。不过我猜测,可能是由于在bp第一次获取的时候,一些参数没有构造。我以为是我的XFF构造问题,所以就又重新试了几次,还是无果。查了之后才知道这是只能管理员的ip能登录,其他的都不行。因为之前一直在试参数,所以一下就发现了有个参数不一样。因为在出结果后我就直接关页面了,忘了多试几次了。然后,发送,出结果了。
2024年最全CTF BugKu平台——Crypto篇刷题记录(后续更新)_抄错的字符 ctf,2024年最新写得太好了
最新发布
2401_84281703的博客
05-11 716
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!】93道网络安全面试题内容实在太多,不一一截图了最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说
BugkuCTF-WEB-管理员系统
烟雨天青色
08-27 2117
打开题目是如上图界面,网页给了一个登陆的页面,刚看起来还有点像SQL注入的样子,打开源代码看一下: 源代码里确实有点东西,有一个经过base64编码的字符串,先解码看一下: 解码之后结果为test123,猜想一下,这既然是一个后台的管理员系统,用户名指定为admin,那么这个执行就是密码没错了,填上测试一下: 出事了,输入username和password之后,网页提示“IP...
BugkuCTF】Web--管理员系统
VZZmieshenquan的博客
02-08 1786
Description: http://123.206.31.85:1003/ flag格式flag{} Solution: 查看源代码,发现一段Base64,解码得test123因为是管理员登录,Username考虑是admin,密码使用解码出来的test123 结果出现IP禁止访问本地管理员……说不定是伪造IP头,在Headers里添加一对键值对 X-Forwarded-For: 12...
新基于web的酒店管理系统.doc
11-23
新基于web的酒店管理系统 基于web的酒店管理系统概述 酒店管理系统是指酒店业中的信息管理系统,它旨在提高酒店的管理效率、降低成本、提高服务质量和治理水平,从而促进经济效益。随着酒店业的不断发展和技术的...
Web习题用户信息管理系统样本.doc
12-06
Web开发中,用户信息管理系统是一个常见的应用场景,涉及到数据库操作、网页交互等多个关键知识点。在这个案例中,我们讨论的是一个基于Access数据库的Web习题用户信息管理系统。以下是相关的技术点和步骤详解: ...
基于Web的酒店管理系统.zip
03-03
Java是一种高性能、跨平台的面向...自动内存管理(垃圾回收): Java具有自动内存管理机制,通过垃圾回收器自动回收不再使用的对象,使得开发者不需要手动管理内存,减轻了程序员的负担,同时也减少了内存泄漏的风险。
Web+微信小程序的教务管理系统.zip
03-03
Java是一种高性能、跨平台的面向...自动内存管理(垃圾回收): Java具有自动内存管理机制,通过垃圾回收器自动回收不再使用的对象,使得开发者不需要手动管理内存,减轻了程序员的负担,同时也减少了内存泄漏的风险。
博客系统web前端+管理后台+java源码.zip
03-03
Java是一种高性能、跨平台的面向...自动内存管理(垃圾回收): Java具有自动内存管理机制,通过垃圾回收器自动回收不再使用的对象,使得开发者不需要手动管理内存,减轻了程序员的负担,同时也减少了内存泄漏的风险。
用户管理员系统
03-06
还不错的资源,JAVAWEB,JSP,STRUTS2,SQLserver精美页面
BugkuCTF---管理员系统
qq_43592364的博客
04-14 2944
题目链接:链接 打开题目链接,看到的是一个登陆界面,还是先随便试一下用户名和登陆密码吧 提示是:IP禁止访问,请联系本地管理员登陆,IP已被记录 那就看一下页面元素,发现了一堆Base64的密文,那就用Hackbar来解密一下试试 得到了一个test123的字符串,那就试一试会不会是用户名和密码 结果还是一样没有任何变化,提示依旧是联系本地管理员,那不如试一下伪造成本地登录 用burps...
管理员系统 writeup
weixin_43400535的博客
02-12 292
简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP
bugku——管理员系统
吃肉唐僧的博客
09-01 896
打开题目,盲猜 提示“IP禁止访问,请联系本地管理员登陆,IP已被记录.” 打开源码,发现base64的字符串 解码 猜测名字为admin,pass为test123 还是失败,同样提示ip被禁 看到本地管理员,想到用X-Forwarded-For: 127.0.0.1伪造本地ip 拿到flag ...
BugKu 管理员系统
weixin_38166557的博客
10-10 107
题目链接 打开网页,情况如下图。 猜测管理员用户名多半是admin,然后密码随便输一个测试。随后页面返回情况如下。 IP禁止访问什么情况?然后用bp抓包,发现源码中有一段注释(<!-- dGVzdDEyMw== -->),发现是BASE64加密,马上进行在线解密得到test123,估计这就是密码了。 重新尝试,还是IP禁止访问,查阅资料,发现了可以通过使用HTTP的X-Forwar...
BugKu 管理员登录
qq_39585393的博客
10-16 248
接下来就是伪造个本地IP,查阅后使用burpsuit的repeater伪造。这里用到了X-Forwarded-For,简单来说这个本来是用于确定客户端的真实地址的,但是可以伪造然后相当于把消息地址修改了。
bugku-web-welcome to bugkuctf
a3uRa的一个窝
08-14 561
查看源代码 you are not the number of bugku ! &lt;!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&amp;&amp;(file_get_contents($user,'r')==="welcome t...
CTF writeup 1_网络安全实验室
热门推荐
Troy
10-26 31万+
基础关1.key在哪里? 过关地址打开网址 “key就在这里中,你能找到他吗? ” 看看源代码有没有线索~果然<html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head> <body> key就在这里中,你能找到他吗?
Linux开头WRITE系统调用
04-29
Linux中的write系统调用用于向文件描述符写入数据。它的函数原型如下: ```c #include <unistd.h> ssize_t write(int fd, const void *buf, size_t count); ``` 其中,fd是文件描述符,buf是要写入数据的缓冲区指针,count是要写入的字节数。返回值是成功写入的字节数,如果出现错误则返回-1。 在使用write系统调用时,需要注意以下几点: 1. 文件描述符必须已经打开,并且具有写权限。 2. 写入数据时需要确保缓冲区大小不小于要写入的字节数。 3. 如果写入的字节数小于要求的字节数,则表示写入操作被中断,需要根据返回值进行处理。 如果你还有其他关于Linux系统调用的问题,我可以继续为你解答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值