BUU BURP COURSE

最新推荐文章于 2024-06-24 16:11:31 发布
最新推荐文章于 2024-06-24 16:11:31 发布
阅读量2.1k 收藏 4
点赞数 4
分类专栏: ctf 文章标签: web http 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46091464/article/details/107538828
版权

BUU BURP COURSE的wp

好久都没有发博客文章了,最近都是在自己学习和做题还有学车。开心的是现在也是有本本的人了。好了废话不多说进入正题。

打开题目就一个提示只能本地访问直接就想到了X-Forwarded-For的伪造
在这里插入图片描述结果还是提示只能本地访问。说明我们的方法不对。

然后自己通过查阅资料发现在http里面除了可以使用X-Forwarded-For以外,还可以使用X-Real-IP.
于是乎我尝试X-Real-IP: 127.0.0.1
在这里插入图片描述发现出现了用户名密码。说明我的做法是正确的。

之后就是点击登录,通过post提交用户名密码。注意还是要添加上X-Real-IP: 127.0.0.1
在这里插入图片描述成功!!!

总结:
这个题让我学习了一个新知识点X-Real-IP
他们的区别是:
X-Forwarded-For:是用于记录代理信息的,每经过一级代理(匿名代理除外),代理服务器都会把这次请求的来源IP追加在X-Forwarded-For中并且用逗号分隔。
X-Real-IP:一般只记录真实发出请求的客户端IP

是简单一个题目,大佬绕过~~~

Firebasky
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Burpsuite神器使用介绍
07-07
burpsuite神器使用详细介绍,让你从小白进入大神。
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
BUUCTF/BUU BURP COURSE 1
weixin_44041994的博客
03-22 444
使用burp suite拦截,在数据包中添加字段:X-Real-IP: 127.0.0.1 以及 Content-Length: 0。在数据包中添加X-Real-IP: 127.0.0.1后发送,成功获得flag。同样打开burp suite拦截后,点击登录。打开靶机提示,页面提示"只能本地访问。发送后进入一个登录界面。输入flag,闯关成功。
BUU BURP COURSE 1
朋克归零膏的博客
09-27 970
BUU BURP COURSE 1
【CTF】BUU BURP COURSE 11
最新发布
weixin_42515203的博客
06-24 309
BUU BURP COURSE 11,构造本地访问的header信息!
BUUCTF--BUU BURP COURSE 1
qq_46263951的博客
07-09 3795
根据提示只能本地访问我们需要伪造一个本地地址 当使用X-Forwarded-For时发现并没有成功访问,e...我们尝试另一种方法 当使用X-Real-IP时我们可以成功进入 登录进去之后我们即可获得Flag 总结: 本题主要考察伪造本地地址的方法 X-Forwarded-For 和 X-Real-IP 的区别 ...
BUUCTF basic BUU BURP COURSE 1 & LFI Labs
网安小趴菜
08-27 2368
BUUCTF basic BUU BURP COURSE 1和LFI Labs
BUU BURP COURSE 1【basic】
weixin_52942048的博客
10-07 451
(2) remote_addr、X-Real-IP、X-Forwarded-For,这3个头参数需要详细了解。(1) 看到这里估计就蒙了,这怎么玩?这提示就是伪造一个本地请求,就是头信息中传一个127.0.0.1;
BUUCTF Basic BUU BURP COURSE 1解题WP
风儿轻轻吹
03-27 2076
1.启动靶机 访问靶机发现网页提示只能本机访问: 可能是检查请求头只的X-Real-IP字段。 2.使用BP测试 BP抓包,添加X-Real-IP:127.0.0.1测试,发现返回登录界面且包含登录信息: 3.根据上述信息,更改使用POST方法提交username=admin&password=wwoj2wio2jw93ey43eiuwdjnewkndjlwe 获取flag{69a567b4-7864-47f6-b854-186ad981de40} ...
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
The HMT effects on the nucleon collective flows in BUU transport model
03-14
基于BUU模型利用集体流研究HMT效应,张芳,,基于半经典的BUU输运模型,我们利用中-质微分流、中子-质子流之差以及质子椭圆流研究了核内核子动量分布的高动量尾巴(HMT)效应。研
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
在本题目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
joinUs-buu2018:h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信qq分享
05-02
joinUs-buu2018 h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信/qq分享 #预览地址
BUUCTF Basic 解题记录--BUU BURP COURSE 1
weixin_43171033的博客
10-08 1030
6、点击登录,在proxy截获的头信息中添加上本地登录的信息 X-Real-IP:127.0.0.1,再转发即可得到flag,成功。3、将proxy的信息转到repeater区域,尝试看看有什么结果,发现有一个默认用户名和密码的登录界面。2、应该使用X-Real-IP,将这里的IP设置成127.0.0.1不就是本地访问了吗,哈哈哈。4、将标红的一段 X-Real-IP:127.0.0.1 加到proxy中,再转发。看题目就能想到肯定跟burpsuite工具相关,直接打开准备分析数据。
BUU BRUTE 11(解题分享)
TinFrog的博客
07-17 282
BUU BRUTE 11(解题分享)
BUU XSS COURSE 1
09-12
BUU XSS COURSE 1是一个关于跨站脚本攻击(XSS)的课程。在这个课程中,学习者将学习如何识别和利用网站中的XSS漏洞。引用中提到了一个payload,它包含了一个iframe标签和一段srcdoc代码,这个payload可以用于触发XSS漏洞。引用提供了一个简单的XSS代码示例,它使用了<script>标签来弹出一个警报框。引用中提到了一个XSS平台,通过利用管理员的cookie和来访地址,可以访问指定的URL地址。 总结起来,BUU XSS COURSE 1是一个教授XSS攻击技术的课程,通过学习课程内容,学习者可以了解如何识别和利用网站中的XSS漏洞,并且还提供了一些XSS代码示例和相关工具来帮助学习者进行实践。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值