CTF每日一题 | Web 后台

最新推荐文章于 2024-04-25 23:40:41 发布
最新推荐文章于 2024-04-25 23:40:41 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: CTF-Web实验 文章标签: CTF-Web Base64
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42646885/article/details/95458436
版权

打开网页如下:简单的字母提示和一个按钮。

点击按钮,页面出现提示:Only Member with Admin rights is allow to enter。意思是只能以管理员身份进入网站后台。

用brupsuit抓包,看看数据包的发送情况:

返回的数据包中设置了cookie的值,Member的值经过了base64加密。在burpsuite的decoder模块解码——>输入Tm9ybWFs——>Decode as ——>Base64:

然后根据页面的提示,把Admin进行base64加密,得到:

然后再Intercept中将Member的值换成上面加密的值,并点击Forward发送。

页面出现flag值:C00i3_n0m_n0m_n0m

实验总结:

主要用到bursuite抓包分析数据,还有base64的加密和解密。

Base64密文有如下特点:

  • 字符串只可能包含A-Z,a-z,0-9,+,/,=字符 
  • 字符串长度是4的倍数 
  • =只会出现在字符串最后,可能没有或者一个等号或者两个等号
大青呐
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
1.只有本地管理员才能访问本页面2.notes Happy Why am lfeeling so happy today? Well ljust got to spend threedays with
记录笔记
04-12 2498
只有本地管理员才能访问本页面 F12 看看源码 没啥东西 御剑看看后台 也没看出来有啥 看了下 需要管理员权限 在headers里面设置 添加一行 X-Forwarded-For127.0.0.1 flag{sgwxsSesSD232se14sdSVSsx} notes Happy Why am lfeeling so happy today? Well ljust got to spend threedays with some of my very best friends having fun t
Bugku--CTF-- 1、本地管理员 2、网站被黑
记录笔记
07-07 1244
Bugku--CTF--1、本地管理员 2、网站被黑
CTF入门之Web后台
m0_55017965的博客
03-20 235
思路:抓包,得到response的包,看上面的cookie提示,再解密得到明文密码,通过明文密码构造数据包发送,得到flag。
CTF之本地管理员
最新发布
qq_74263993的博客
04-25 214
盲猜一波账号admin,使用密码test123得到flag{3da7e7d140f5c345b2a314e9e82cb2c9}这里我们在提交的数据请求包里加一个x-forwarded-for: 127.0.0.1,伪造IP进行访问,发现提示变了。拿到题目随便登录一下发现提示IP禁止访问,请联系本地管理员登陆,IP已被记录.我们再看网页源码,发现了base64编码,解码得到test123。所以我们使用伪造数据包来源 IP。
CTFhub技能书解题笔记-Cookie
qq_43006864的博客
12-09 1459
一:打开题目,主页给出的提示是,仅仅只有admin用户,才能看到flag 二、这里我们还是打开burpsuit,抓包看一下数据包。通过对该页面进行抓包,发现了cookie位置的值为:admin=0。那么可以理解为现在是因为admin=0,所以我们非admin用户,就无法看倒flag。 这里因为0和1通常用来表示“否”和“是”,所以这里我们将0改为1。 得到flag ...
逗比学CTF.day5
weixin_45963786的博客
01-20 1801
BUU BURP COURSE 1 比较基础的IP伪造题目,基础题get到新的知识点,通过伪造X-Real-IP字段实现本地访问 一、原题无源码 打开后,只提示需要本地访问。 二、伪造xff 一说到伪造IP地址,实现本地访问,第一想到的就是X-Forwarded-For字段 但是仍然提示“只能本地访问”,服务器检测的不是xff这个字段。然后只能去问度娘 X-Real-IP字段映入眼帘 三、伪造X-Real-IP字段 这次不在提示“只能本地访问”,说明IP绕过成功,下面继续看html编码 三、代码分
S3cCTF-gyy-Writeup
Err0r_CM的博客
01-08 2157
S3cCTF-gyy-Writeup 出题人:gyy 写在前面: 本次招新赛我主要负责WEB方面的出题,当然兼顾一些MISC,本着简单易懂的原则,刚开始出了很多简单WEB题,但是这届新生的实力明显比我们当时强= =,后期又赶了一些提升题,当然和真正的CTF比赛还是有非常大的距离,例如在群里放出的周六的题目可以看出。所以,这些只是入门CTF的基础,去年的这时,我们参加的招新比赛比今年更加困难(所以今年我有同感地出了不少简单题),我希望大家不要止步于此,当初我也有一腔热血,觉得CTF不过如此(甚至还想双休)。但
网络安全攻防实验室通关教程-基础篇
热门推荐
黑面狐
10-17 1万+
网络安全实验室地址传送门:http://hackinglab.cn 一、key在哪里? 第一题基本是签到题。 提示:key就在这里,你能找到它吗? 右键打开网页源码,在注释中找到flag   一般告诉我们key就在这里的话,我们一般会查看网页源码,如果没有就抓取数据包查看。   二、再加密一次你就得到key了 加密之后的数据为xrlvf23xfqwsxsqf 从题目意思知道  
实验四 /*CTF实践*/
Tauil的博客
01-07 360
目的:获取靶机Web Developer 文件/root/flag.txt中flag。 基本思路:本网段IP地址存活扫描(netdiscover);网络扫描(Nmap);浏览HTTP 服务;网站目录枚举(Dirb);发现数据包文件 “cap”;分析 “cap” 文件,找到网站管理后台账号密码;插件利用(有漏洞);利用漏洞获得服务器账号密码;SSH 远程登录服务器;tcpdump另类应用。 实施细节如下: 1、发现目标 (netdiscover),找到WebDeveloper的IP地址。截图。 nmap.
CTF工具之御剑后台扫描(web).rar
09-16
御剑后台扫描工具是专门为CTF比赛设计的一款Web渗透测试工具,主要用于发现和利用网站后台系统的漏洞。它可以帮助安全研究人员或参赛者在合法范围内进行安全评估,以提高他们的技能和理解网络攻防的策略。 一、Web...
CTF题库超详细资源合集
06-14
在传统的CTF线上⽐赛中,Web类题⽬是主要的题型之⼀,相较于⼆进制、逆向等类型的题⽬,参赛者不需掌握系统底层知识;相较于密码学、杂项问题,不需具特别强的编程能⼒,故⼊门较为容易。Web类题⽬常见的漏洞类型...
ctfhub web全部题记录(持续跟新)
01-08
CTF(Capture The Flag)】CTF是一种网络安全竞赛,其中参赛者通过解决各种安全问题来获取“旗标”(代表分数),这些问题通常涉及逆向工程、密码学、Web安全、取证分析等多个领域。 【Web安全】Web安全是网络...
领航杯 CTF 2021 决赛 真题 7z
12-07
领航杯 CTF 2021 决赛
ctf题库 CTF理论考核题及答案
07-05
7. **Linux管道符**:在Linux中,管道符是"|", 用于连接命令并将一个命令的输出作为另一个命令的输入。正确答案是C。 8. **非关系型数据库**:MongoDB是一种NoSQL数据库,不属于关系型数据库,如MySQL、SQL Server...
蓝鲸ctf writeup 本地登录
朝歌
05-13 6146
题目地址:http://39.107.92.230/web/web3/index.php点开链接,可以发现如下图所示。打开burpsuite抓包。然后伪造ip地址提交过去。加上:X-Forwarded-For: 127.0.0.1又发现,显示不是管理员,从下图中我们可以看见,cookie:Set-Cookie: isadmin=0我们尝试着把0改成1。我们得到flag。...
BugkuCTF---管理员系统
qq_43592364的博客
04-14 2960
题目链接:链接 打开题目链接,看到的是一个登陆界面,还是先随便试一下用户名和登陆密码吧 提示是:IP禁止访问,请联系本地管理员登陆,IP已被记录 那就看一下页面元素,发现了一堆Base64的密文,那就用Hackbar来解密一下试试 得到了一个test123的字符串,那就试一试会不会是用户名和密码 结果还是一样没有任何变化,提示依旧是联系本地管理员,那不如试一下伪造成本地登录 用burps...
Hackthebox系列 ctf首页无法登录
xujing19920814的博客
10-24 1299
https://ctf.hackthebox.com/无法登录
CTF问题汇总
SuperBeauty的专栏
02-22 672
CTF问题汇总
BugkuCTF-WEB题本地管理员
am_03的博客
08-25 1766
基础知识: base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一类基于64个可打印字符来表示二进制数据的方法。 XFF伪造请求头: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原本的IP地址的HTTP请求头字段。 简单来说,XXF是告诉服务器当前请求者的最后ip的http请求头字段,通常可以直接通过修改http头里的X-Forwarded-For字段来仿造请求的最后ip。 打开场景: 为一个登录界面 尝试输
ctfweb题有什么技巧
04-05
作为AI语言模型,我并不会CTF,但以下是一些通用的技巧,可以帮助你在CTFWeb题中取得成功: 1. 深入了解HTTP协议和Web应用程序的基础知识,包括Cookie、Session、HTTP请求头和响应头等。 2. 熟悉基本的Web漏洞,如SQL注入、XSS、CSRF、文件包含、命令注入等。 3. 熟练使用Burp Suite等工具进行渗透测试和漏洞分析。 4. 熟悉各种Web框架和技术,如PHP、Python、Ruby on Rails等,并了解其安全问题。 5. 使用各种搜索引擎和漏洞库来查找可能的漏洞和解决方案。 6. 阅读源代码并理解其工作原理,以便找到可能的漏洞。 7. 了解常见的Web防御技术,如WAF、CSP、HSTS、HTTPS等,并尝试绕过它们。 8. 提高自己的编程能力和代码审计技能,以便更好地理解代码中的漏洞和解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值