SKCTF管理员系统

最新推荐文章于 2024-05-11 05:44:13 发布
最新推荐文章于 2024-05-11 05:44:13 发布
阅读量505 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44598397/article/details/101380752
版权
在SKCTF的管理员系统中,尝试注册admin账号时发现已存在且密码未知。通过理解SQL约束攻击,利用字符串处理时末尾空格会被删除的特性,注册了用户名为'admin '(admin后加多个空格)的账户,并成功登录获取到flag。
摘要由CSDN通过智能技术生成

在这里插入图片描述
登录发现:
在这里插入图片描述
由管理员可以联想到admin,去注册admin,发现已经存在
在这里插入图片描述但是密码未知
在这里插入图片描述
1\SQL约束攻击:在SQL中执行字符串处理时,字符串末尾的空格符将会被删除。换句话说“vampire”等同于“vampire ”,对于绝大多数情况来说都是成立的(诸如WHERE子句中的字符串或INSERT语句中的字符串)例如以下语句的查询结果,与使用用户名“vampire”进行查询时的结果是一样的。
SELECT * FROM users WHERE username=‘vampire ‘;

2\因此这道题就可以解出来了,我们注册一个用户,用户名就是“admin ”(admin后面多加几个空格) 密码符合要求就好。
登录之后即出现flag在这里插入图片描述

林夕林@
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
竞赛资料源码-山东科技大学第四届网络安全技能大赛 SKCTF2019.zip
02-06
【目标受众】: 本项目适合IT相关专业各种计算机技术的源代码和项目资料,如计科、人工智能、通信工程、自动化和电子信息等的在校学生、老师或者企业员工下载使用。 也适合小白学习进阶,可以用作比赛项目、可以进行...
BugkuCTF---管理员系统
qq_43592364的博客
04-14 2955
题目链接:链接 打开题目链接,看到的是一个登陆界面,还是先随便试一下用户名和登陆密码吧 提示是:IP禁止访问,请联系本地管理员登陆,IP已被记录 那就看一下页面元素,发现了一堆Base64的密文,那就用Hackbar来解密一下试试 得到了一个test123的字符串,那就试一试会不会是用户名和密码 结果还是一样没有任何变化,提示依旧是联系本地管理员,那不如试一下伪造成本地登录 用burps...
BugkuCTF_管理员系统
qq_46635165的博客
09-21 715
打开解题网址,一个账户密码登录界面,并尝试管理员身份登录,出现一行提示: 一开始以为是SQL注入题,经过尝试后确定不是,然后又回到题目看提示,提示是本地管理员登录,本地两个字,想到一种叫做 本地 IP 伪造的说法,然后网上查了一下,专业术语叫做 XFF 头伪造:具体详请请看转载博客:点这里 具体做法: 1,首先使用抓包工具,把页面的数据包抓取: 然后在请求头部 Headers 添加 X-Forwarded-For:127.0.0.1 : go一下,出现凭证无效提示: 仔细一想,此时缺的是一个管理员的密
2024年最全四叶草云演-CTF04# 后台管理系统,2024年最新巩固知识体系
最新发布
2401_84544531的博客
05-11 656
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Bugku web 管理员系统 write up
热门推荐
酉酉的博客
09-07 1万+
打开解题网址 很像sql注入的题,随便输入个账号先试试 看到这个就想到X-Forwarded-For 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP 伪造一个XFF头,伪装成本地登录 X-Forwarded_For: 127.0.0.1 在来看看源码 这个我一直没发现里面的玄机,怪我太s了,后来才看到在源码的最后面有一个base64的编码 解密为t...
ctf web本地管理员
god_001的博客
03-05 1441
启动场景,发现是一个登陆网页: 查看网页源代码, 发现最下一行疑似使用了base64加密 解密后果然,得到一串字符:test123 测试管理员账户为admin,密码为test123,得到 再联系题目,可知需要使用本地IP登录, 使用bp抓包,send to repeater,头部添加 X-Forwarded-For:127.0.0.1 发送请求得到结果: X-Forwarded-For X-Forwarded-For 是一个 HTTP 扩展头部,用来表示HTTP请求端的真.
CTF练习题[WEB]-本地管理员
weixin_45246254的博客
10-11 3433
https://ctf.bugku.com/challenges/detail/id/79.html 拿到题目尝试登陆失败 提示IP禁止访问 抓包发现有注释信息 请求包添加 X-FORWARDED-FOR:127.0.0.1 Referer: localhost admin/test123 伪造本地IP,进行登录,获取flag
SKCTF管理系统
weixin_30820077的博客
09-18 252
一开始是一个简洁风的登录界面 康康注册界面 嗯...也是很简洁风呢。 那让我们来查看元素(fn+f12) 没有什么有flag的迹象呢! 那我们试一下注册一个账号 这时候我们已经有解题的线索了: 获得管理员账号,输入密码,得到flag。 这道题的解题思路是,利用php中sql约束攻击。 以下内容来自于 ht...
bugku-ctf SKCTF管理系统 writeup 心得笔记
sx234com的博客
01-16 1331
最近一直着迷CTF,记录一下WEB中的一个题目解题心得。 这道题已经提示了 使用sql约束攻击。 于是准备试试, 先注册一个用户  注册成功!有点爽了感觉,然后登陆这个用户 登陆提示    冷静下来想了想 提示是利用SQL约束攻击,那么办法来了,既然上面显示只有管理员才能看见flag 那么我们先要尝试一下管理员是哪个账号,在注册界面 使用账户名admin走一发 看看账...
bugku SKCTF管理系统
YenKoc的博客
12-01 288
这题hint是sql约束攻击。。。sql约束攻击其实我没了解过,当时就各种百度,现在总结一下 0x01: sql约束攻击:通常是sql查询语句select * from username= 'lin’这句中,当你的username='lin’的lin后面有很多空格时,会自动省略后面的空格,同时在插入的时候,比如当字段的约束为10位时,你的username插入10位以上的字符,会相当于自动将10位...
BugKuCTF WEB
让我再浪一会 的博客
11-24 518
文章目录BugKuCTF WEB一、web2二、计算器三、web基础$_GET四、web基础$_POST五、矛盾六、web3七、域名解析八、你必须让他停下九、变量1十、web5十一、头等舱十二、网站被黑十三、管理员系统十四、web4十五、flag在index里十六、输入密码查看flag BugKuCTF WEB 平台地址 一、web2 进入网页,查看源代码,在其中找到flag 二、计算器 进入网页,根据题目可得知需要输入运算结果,但限制了输入的数字的个数,查看网页的JS代码,将 maxlength =
Bugku--CTF-- 1、本地管理员 2、网站被黑
记录笔记
07-07 1241
Bugku--CTF--1、本地管理员 2、网站被黑
BugkuCTF-WEB题本地管理员
am_03的博客
08-25 1763
基础知识: base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一类基于64个可打印字符来表示二进制数据的方法。 XFF伪造请求头: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原本的IP地址的HTTP请求头字段。 简单来说,XXF是告诉服务器当前请求者的最后ip的http请求头字段,通常可以直接通过修改http头里的X-Forwarded-For字段来仿造请求的最后ip。 打开场景: 为一个登录界面 尝试输
【BugkuCTF】Web--管理员系统
VZZmieshenquan的博客
02-08 1790
Description: http://123.206.31.85:1003/ flag格式flag{} Solution: 查看源代码,发现一段Base64,解码得test123因为是管理员登录,Username考虑是admin,密码使用解码出来的test123 结果出现IP禁止访问本地管理员……说不定是伪造IP头,在Headers里添加一对键值对 X-Forwarded-For: 12...
BugkuCTF-WEB-管理员系统
Jaychouzzk
11-16 2283
      打开题目随便输入了一下,发现IP禁止访问了,所以打算F12看看有啥猫腻 - -   这么长的滚动条,肯定有猫腻拖下去瞅瞅有啥提示点,发现一处提示的地方,得到一串base64加密 解密得到test123,尝试一下user:admin,pass:text123,结果还是不行,仍然提示 “IP禁止访问,请联系本地管理员登陆,IP已被记录.”         ...
BugkuCTF管理员系统(IP禁止访问)
Sandra_93的博客
10-22 3603
IP禁止访问问题: 之前做一道题时,进入robots.txt,发现要访问/console,然后F12 在网络处编辑和重发消息头,发送后响应有flag, 在头部里加一个字段:X-forwarded-for 伪造一个源ip, X-forwarded-for :127.0.0.1 上面这部分是一次比赛的记录,找不到题目,随便看看算了 管理员系统: 又是IP禁止访问的问题,想到了在伪造源IP: 首先查看...
BugKuCTF WEB 管理员系统
无限迭代中......
07-08 1281
http://123.206.31.85:1003/ 题解: 工具: Burp Suite 开发者工具 尝试 版本一 开发者工具 base64编码 dGVzdDEyMw== base64解码 test123 可能是密码 抓包 send to Intrduer start attack send to Repeater...
Bugku-CTF之管理员系统+程序员本地网站
weixin_34194087的博客
04-20 2093
Day12 管理员系统 http://123.206.31.85:1003/ flag格式flag{} 本题要点:伪造请求头 解释一下伪造请求头~ X-Forwarded-For: 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP。 请求头格式:X-Forwarded-For:client, proxy1, proxy2 cli...
CTF 实验吧 天网管理系统
The Road Of Sec
10-18 4448
1. 点击登入系统,并没有反应 2.直接F12 查看源码 3.发现异常 有一段代码:    要求用户名传入一个字符串,经过md5加密后要等于0。    md5加密自行百度就可得知 4.插播一段有关于 PHP弱类型的相关知识   在php中 == :  比较运算符号  不会检查条件式的表达式的类型 ===:  恒等计算符 , 同时检查表达式的值与类型。(会检查表达式类型,如bo
ctf+管理员登录+php,一道有意思的CTF题目
weixin_28224217的博客
03-20 2237
前言近期在整理题目的时候,发现了一道质量不错的Web题,出自2019 TMCTF Final,特此记录一下。信息搜集题目描述:Hack the following server.http://10.0.106.(team number)/User NamePasswordguestpasswordadmin(Unknown)Note: You do not have to use way of b...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值