BugKu--------需要管理员

最新推荐文章于 2024-04-15 14:33:00 发布
最新推荐文章于 2024-04-15 14:33:00 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: CTF笔记 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45616570/article/details/120708325
版权

BugKu--------需要管理员

image-20211011171937650

解题过程

1.使用御剑进行扫描发现robots.txt

image-20211011172851535

2.访问robots.txtimage-20211011173224878

3.访问网站路径resusl.php,发现函数if ( G E T [ x ] = = _GET[x]== GET[x]==password) 此处省略1w字image-20211011173309727

4.因为题目提示使用管理员,说以传递参数x=admin,构造payload为http://114.67.246.176:12481/resusl.php?x=admin得到flag

image-20211011173703689

r1ng_13
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
个人笔记——bugku管理员系统
m0_61100491的博客
08-09 167
试过test123后又得到这个页面(刚开始是没有“IP禁止访问.....IP已被记录”的,这是个提示)试了多次后,鬼使神差的重新刷新了下页面,点了下submit,然后bp出现了不一样的参数。不过我猜测,可能是由于在bp第一次获取的时候,一些参数没有构造。我以为是我的XFF构造问题,所以就又重新试了几次,还是无果。查了之后才知道这是只能管理员的ip能登录,其他的都不行。因为之前一直在试参数,所以一下就发现了有个参数不一样。因为在出结果后我就直接关页面了,忘了多试几次了。然后,发送,出结果了。
bugku-web-需要管理员
最新发布
qq_75121443的博客
04-15 474
这里扫到一个文件,那就和cookie没什么关系了?误导呀,那这提示的作用是什么?这就有意思了,两个连接没有什么太大作用,提示是需要管理员,难道要伪装身份标识?要伪装身份标识就要动cookie,但是怎么动呢?也没有提示,先扫一下敏感目录。这是一个正儿八经的官网,回到原页面,抓取原页面的请求报文。访问得到这两个字段,这里看到一个php文件,访问。这里给了一个提示,传递的x参数会当做密码。这里一个js代码,一个html页面请求。这时用来表示请求原页面是哪个。抓取第一个js链接报文。
bugku-本地管理员
qq_38634097的博客
04-23 308
- dGVzdDEyMw== --> ,有因为字符串以=结尾,判断是base64编码,利用在线解码工具得到值为test123.但是不确定该值是账号还是密码,管理员账号一般为admin,暂且猜测test123为密码,在登陆框输入admin/test123.还是提示IP已被记录。打开场景是登录框,尝试弱口令登录,这里我使用的弱口令有:admin/123456、admin/888888、admin/admin、admin/admin23等。根据提示,可以想到更换IP,于是利用HTTP协议的xff跟换IP。
Bugku---本地管理员
2201_75556700的博客
03-07 919
【代码】Bugku---本地管理员
BUGKU需要管理员
kindyyy的博客
04-23 420
让我们打开题目 啥也没有,的确是吓了我一跳,但是我决定用遇见扫一扫,看看有没有其他的东西 好像有一个robots.txt文件,在浏览器上打开即可 http://147.67.175.224:17171/robots.txt 啥也没有,但是又给了一个php文件,再打开看一看(孜孜不倦) 发现给了一个提示 http://147.67.175.224:17171/resusl.php 要让x的值等于password的值,而且题目上也说,管理员管理员管理员。。。。那就让它是admin
Bugku 本地管理员
Welcome To Myon'Blog !
05-30 661
Bugku 本地管理员,本地访问,bp的简单抓包改包放包
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 Bugku-Web-cookie欺骗是指通过构造Cookie欺骗服务器,获取敏感信息或控制服务器行为的一种攻击方式。...Bugku-Web-cookie欺骗是一种危险的攻击方式,需要我们采取防御措施来保护服务器的安全。
bugkuctf解题-WEB
05-04
总的来说,"bugkuctf解题-WEB"涉及的是Web安全的实战应用,需要对Web开发、网络安全有深入的理解,并具备问题解决和创新思维能力。通过不断地学习和实践,我们可以不断提升自己的技能,与更多的人交流分享,共同进步...
bugkuctf解题-杂项
05-04
bugku writeup,杂项解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
never-give-up:永不放弃的PyTorch实现
05-26
永不放弃 永不放弃的PyTorch实施:学习定向探索策略[] 仅实施了具有嵌入网络的偶然性好奇心。 安装 使用Python 3.7.9测试 pip install -r requirements.txt 火车 python train.py 结果 ...R2D2基地是从通过
BUGKU-WEB 本地管理员
天泽岁月
02-16 457
BUGKU-WEB 本地管理员,绕开限制
Bugku_需要管理员
Kobalos的博客
09-18 1008
直接访问目标地址,发现是一个404页面 查看源码也没有发现什么有用的提示,所以尝试爆破目录 这里爆破出了一个robots.txt,查看一下 发现robots.txt中提示了一个php文件,尝试访问 可以看到在下方有一行代码,定义了一个传入的参数x,但是并没有告诉这个x应该是什么值 if ($_GET[x]==$password) 试着爆破这个值 可以看到当x=admin时,应该是可以正常访问的 构造payload并访问:http://114.67.246.176:16192/resusl.ph.
Bugku之本地管理员
金 帛的博客
03-16 3098
BugkuWP
bugku_writeup】web31 好像需要管理员
kkza的博客
01-01 370
初识题目 啥也没有,点击try again也一样 解题思路 没什么思路,有burpsuite的spider扫一下 有robots.txt,打开看看 发现一个php文件,打开看看 有点东西,其次还发现一个问题 溢出是啥来的?当然,只在火狐上有溢出提示,先不管,其实也没什么作用 由于有if判断语句,目前没有设GET参数id,这个页面应该是不符合if正确的,由于有个x和password对比,猜测一下可能是判断是不是管理员,传参id=admin 就这???(虽然..
Bugku web31 好像需要管理员
weixin_44522540的博客
02-24 453
三十一、web31 好像需要管理员 御剑扫描一下后台,发现robots.txt,访问 提示/resusl.php,继续访问,发现要传入一个参数x,并且x的值是要等于password,采用burp爆破 得到密码是admin,其实题目好像需要管理员,这里就可以猜到x=admin ...
Bugku WEB 需要管理员
qq_41696858的博客
07-22 491
这题没意思。。。。。。。。。。。 进来一个404,看源码 也没啥好看的,那就dirsearch扫 就扫出来一个robots.txt,那就进去看看resusl.php,看出来是后台界面 打开发现需要判断传入x值等于password变量值,那么就是密码爆破 既然没有任何提示,那么就是弱口令,直接试个admin果然是 直接得到flag ...
svg + image/svg+xml 文件上传实现xss
qq_45616570的博客
12-03 5268
svg + image/svg+xml 文件上传实现xss 环境:dvwa靶场 靶场关卡:文件上传 靶场难度:低级 我的吾爱破解帖子:XSS新思路-----XSS+SVG漏洞复现 https://www.52pojie.cn/thread-1554237-1-1.html (出处: 吾爱破解论坛) 复现过程 调整靶场难度为low 选择文件上传关卡,选择一个图片或者其他文件均可,本关是任意文件上传。我使用的是一个png图片。 打开代理,使用burpsuite进行抓包 点击上传按钮,
bugku chatgpt-1
10-09
ChatGPT是一种由OpenAI训练的大型语言模型。它的原理是基于Transformer架构,通过预训练大量文本数据来学习如何生成人类可读的文本,然后通过接受输入并生成输出来实现对话。 ChatGPT的用途非常广泛,可以用于自然...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值