Bugku - 管理员系统

最新推荐文章于 2024-03-07 15:41:48 发布
最新推荐文章于 2024-03-07 15:41:48 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: web Bugku
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42357070/article/details/82854591
版权
web 同时被 2 个专栏收录
24 篇文章 0 订阅
订阅专栏
Bugku
14 篇文章 2 订阅
订阅专栏

 

查看网页源代码

在网页源代码中除最后一行注释代码外,没有什么其它值得特别注意的代码

dGVzdDEyMw== 很明显是Base64编码格式,解码: test123

登录
用户名admin

密码test123

 

根据返回提示可以看出 肯定是伪造本地ip才能访问

那就伪造试一下

抓包

加上
X-Forwarded-For: 127.0.0.1

得到flag

 

X-Forwarded-For
X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。

标准格式如下:X-Forwarded-For: client1, proxy1, proxy2

 

多崎巡礼
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUGKU-WEB 本地管理员
天泽岁月
02-16 452
BUGKU-WEB 本地管理员,绕开限制
bugku 隐写
最新发布
qq274575499的博客
06-03 391
隐写,通过改变图片的大小,即修改了高或者宽,达到隐写flag
Bugku-管理员系统
王嘟嘟的博客
10-07 1748
0x00 2018年10月7日00:00:43 这一道题借鉴其他大神完成,给我十个脑子我也想不到需要这样操作。 日常查看源码,这里发现一个base64位的编码。 这个是在用bp抓包的时候才看到的。 解码之后就是test123 使用admin和test123进行尝试,没有反应。 大神是这样说的。 这是XFF头的问题。 X-Forwarded-For,它代表客户端,也就是HTTP的请求端真实的IP,...
Bugku---本地管理员
2201_75556700的博客
03-07 916
【代码】Bugku---本地管理员
bugku-本地管理员
qq_38634097的博客
04-23 308
- dGVzdDEyMw== --> ,有因为字符串以=结尾,判断是base64编码,利用在线解码工具得到值为test123.但是不确定该值是账号还是密码,管理员账号一般为admin,暂且猜测test123为密码,在登陆框输入admin/test123.还是提示IP已被记录。打开场景是登录框,尝试弱口令登录,这里我使用的弱口令有:admin/123456、admin/888888、admin/admin、admin/admin23等。根据提示,可以想到更换IP,于是利用HTTP协议的xff跟换IP。
Bugku-管理员系统(伪造IP题)
ChenZIDu的博客
04-05 966
需要伪造本地IP: X-Forwarded-For: 127.0.0.1 伪造本地IP,获得flag 题目地址:http://123.206.31.85:1003/ 注意输入得账号密码必须正确! 按F12 查看网页源码 查过题解,绿色那一串是base64编码 解码之后获得:test64 管理员一般默认 账号是:admin、 输入账号密码; 弹出IP禁止访问;! 然后我们伪造本地IP; 先利用抓...
BUGKU------管理员系统
Y4tacker的博客
07-27 7296
首先通过Burp抓包看到一句话,IP禁止访问,我第一个想到的就是xff 看吧没有了,但是密码却不正确 我们通过在下面发现个base64编码解得test123 还是不对,那么我们可能是XFF头搞错了 改成本地端口,完美绕过 ...
bugku- 本地管理员
m0_62094846的博客
10-24 233
需要输入username和password,查看源代码 有这样一串特殊符号,看着应该是base64加密过的,解密得到test123 Username猜测是admin,密码是test123 如果账号密码是正确的,问题应该就是“管理员系统”了,可以尝试改变IP地址 用burp添加xff就可以得到flag了 ...
BugkuCTF---管理员系统
qq_43592364的博客
04-14 2962
题目链接:链接 打开题目链接,看到的是一个登陆界面,还是先随便试一下用户名和登陆密码吧 提示是:IP禁止访问,请联系本地管理员登陆,IP已被记录 那就看一下页面元素,发现了一堆Base64的密文,那就用Hackbar来解密一下试试 得到了一个test123的字符串,那就试一试会不会是用户名和密码 结果还是一样没有任何变化,提示依旧是联系本地管理员,那不如试一下伪造成本地登录 用burps...
BugkuCTF-WEB-管理员系统
烟雨天青色
08-27 2147
打开题目是如上图界面,网页给了一个登陆的页面,刚看起来还有点像SQL注入的样子,打开源代码看一下: 源代码里确实有点东西,有一个经过base64编码的字符串,先解码看一下: 解码之后结果为test123,猜想一下,这既然是一个后台的管理员系统,用户名指定为admin,那么这个执行就是密码没错了,填上测试一下: 出事了,输入username和password之后,网页提示“IP...
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 Bugku-Web-cookie欺骗是指通过构造Cookie欺骗服务器,获取敏感信息或控制服务器行为的一种攻击方式。本文将详细介绍Bugku-Web-cookie欺骗的原理、攻击过程和防御方法。 原理 在Web应用程序...
[Bugku-AWD专版]一款用于AWD比赛中的自动化攻击框架.zip
09-30
Bugku-AWD专版】是一款专为AWD(Attack With Defense)比赛设计的自动化攻击框架,它旨在帮助参赛者更高效地进行攻防对抗。这个框架的核心目标是简化比赛过程中对目标系统的攻击策略和自动化执行,使得参赛者能够...
Bugku-AWD专版用于AWD比赛中的自动化攻击框架源码+项目说明.zip
01-14
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习...Bugku-AWD专版用于AWD比赛中的自动化攻击框架源码+项目说明.zip
bugkuctf解题-WEB
05-04
防止命令注入应避免直接将用户输入传递给系统命令,而是使用安全的API或库来处理。 在解题过程中,我们还需要掌握一些工具和技巧,例如使用Burp Suite进行代理抓包分析,使用Wireshark捕获网络流量,利用OWASP ZAP...
bugkuctf解题-杂项
05-04
bugku writeup,杂项解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
Bugku -分析-合集
热门推荐
多崎巡礼的博客
11-19 1万+
一、flag被盗 http筛选 选中一个post包,追踪tcp数据流 得到flag
Bugku - 秋名山老司机
多崎巡礼的博客
08-26 5060
  emm鬼算得出来。。。   import re import requests s = requests.Session() r = s.get("http://120.24.86.145:8002/qiumingshan/") searchObj = re.search(r'^<div>(.*)=\?;</div>$', r.text, re.M | r...
Bugku - 想蹭网先解开密码
多崎巡礼的博客
10-15 4858
  下载cap包,WIFI连接认证的重点在WPA的四次握手包,也就是eapol协议的包,过滤一下 使用crunch生成密码字典 利用aircrack 进行爆破   得到flag        ...
bugku chatgpt-1
10-09
ChatGPT的用途非常广泛,可以用于自然语言处理(NLP)任务,如对话生成、问答系统、文本生成等。 如果你想使用ChatGPT,你可以用它来构建对话机器人,回答问题,生成文本等。它的应用非常广泛,可以用于各种场景,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值