BugkuCTF_管理员系统

最新推荐文章于 2024-06-26 20:55:11 发布
最新推荐文章于 2024-06-26 20:55:11 发布
阅读量728 收藏 1
点赞数
分类专栏: bugkuCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46635165/article/details/108713939
版权

打开解题网址,一个账户密码登录界面,并尝试管理员身份登录,出现一行提示:

在这里插入图片描述一开始以为是SQL注入题,经过尝试后确定不是,然后又回到题目看提示,提示是本地管理员登录本地两个字,想到一种叫做 本地 IP 伪造的说法,然后网上查了一下,专业术语叫做 XFF 头伪造:具体详请请看转载博客:点这里
具体做法:
1,首先使用抓包工具,把页面的数据包抓取:
在这里插入图片描述
然后在请求头部 Headers 添加 X-Forwarded-For:127.0.0.1 :

在这里插入图片描述
go一下,出现凭证无效提示:

在这里插入图片描述
仔细一想,此时缺的是一个管理员的密码,而在审查源码是发现一个注释标签提示:

在这里插入图片描述
base64解密,然后再 go 一下,得到flag。

我在干饭
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugku ctf 管理员系统 (伪造x-forwarded-for绕过服务器IP)
qq_42777804的博客
05-18 4522
随便输入 发现 ip禁止访问 与本地管理员联系登陆 我们查看源码 到最后发现 <!-- dGVzdDEyMw== --> 在线base64解密得到 test123 Username: admin Password:test123 发现居然还是不能提交 那么burp抓包 发给 repeater 发现了可以通...
CTF 实验吧 天网管理系统
The Road Of Sec
10-18 4459
1. 点击登入系统,并没有反应 2.直接F12 查看源码 3.发现异常 有一段代码:    要求用户名传入一个字符串,经过md5加密后要等于0。    md5加密自行百度就可得知 4.插播一段有关于 PHP弱类型的相关知识   在php中 == :  比较运算符号  不会检查条件式的表达式的类型 ===:  恒等计算符 , 同时检查表达式的值与类型。(会检查表达式类型,如bo
BugkuCTF_Web——“管理员系统”、“网站被黑”
Ho1aAs‘s Blog
09-08 947
文章目录使用工具一、“管理员系统二、“网站被黑”完 使用工具 御剑WEB目录扫描 Burpsuite 一、“管理员系统 题目是登录账户 提示管理员系统,先尝试账户和密码都是admin进行登录并且抓包 提示需要联系本地管理员 页面有一串base64编码,得到管理员账户的密码是test123 尝试使用密码test123登录账户admin 同样提示联系本地管理员 使用X-Forwarded-For指向本地127.0.0.1 得到FLAG flag{85ff2ee4171396724bae20c0b
Bugku-web-本地管理员
最新发布
qq_68457525的博客
06-26 274
ctf练习之修改文件头实现本地登录
青少年CTF 文章管理系统
kuangbaofeiyang的博客
08-24 1159
这里很显然有问题我们尝试用sqlmap跑一遍。这里users表没找到我们要找的数据。点击下一页,url弹出id=1。我换了一个word表找到了。
BugKu-----本地管理员
qq_45616570的博客
06-24 1015
title: BugKu-----本地管理员 date: 2021-06-24 19:48:44 description: 前言:零度安全搭建博客后的第N篇文章 top: categories: BugKu刷题 tags: 网络安全 BugKu BugKu-----本地管理员 题目 解题思路 本地管理员可以联到的是ip的问题,又是xxf 解题过程 先尝试用admin/admin进行登录,发现ip被记录。需要本地管理员 使用插件X-Forword将ip修改为127.0.0.1 源码里看到的b.
轩禹CTF_RSA工具3.6.1.zip
01-29
CTF常用工具集
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
bugku ctf misc wp.pdf
07-05
根据所提供的文件内容,我们可以得知,这是一个针对“bugku ctf misc wp.pdf”文件的CTF(Capture The Flag)比赛中的misc(杂项)类别题目的write-up(解答过程记录)。Misc类别通常包含各种非传统类型的题目,要求...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
BUGKU--本地管理员
m0_65766842的博客
03-01 134
1
Bugku之本地管理员
金 帛的博客
03-16 3138
BugkuWP
bugku- 本地管理员
m0_62094846的博客
10-24 239
需要输入username和password,查看源代码 有这样一串特殊符号,看着应该是base64加密过的,解密得到test123 Username猜测是admin,密码是test123 如果账号密码是正确的,问题应该就是“管理员系统”了,可以尝试改变IP地址 用burp添加xff就可以得到flag了 ...
BugKu_本地管理员
Kobalos的博客
07-28 909
访问目标地址,可以看到是一个管理员登陆页面 f12查看源码,发现一段base64加密的字符串 解码结果为test123,因为是管理员系统,所以暂时猜测账号密码为,admin/test123 尝试登录发现失败了,显示ip禁止访问 联到题目是本地管理员,所以尝试XFF-IP伪造 点击发包,成功在返回包中发现flag 注: ...
bugku-本地管理员
2202_75317918的博客
03-02 411
bugku 本地管理员
Bugku---本地管理员
2201_75556700的博客
03-07 934
【代码】Bugku---本地管理员
bugku 本地管理员
m0_62709637的博客
07-04 495
bugku 本地管理员
BugkuCTF 字符?正则?
08-11
BugkuCTF 是一个CTF(Capture The Flag)比赛平台,提供了一系列的网络安全挑战题目供参赛者解决。在这个平台上,参赛者需要利用自己的技术和知识,寻找并利用目标系统中的漏洞,获取相应的flag来得分。 关于字符和正则表达式,在CTF比赛中常常会遇到需要处理字符或者利用正则表达式来解题的情况。例如,有些题目会提供一段加密后的字符串,参赛者需要根据加密算法进行解密,获取隐藏在其中的flag。而在其他题目中,可能会给出一段文本,并要求参赛者使用正则表达式来匹配特定的模式或者提取特定的信息。 因此,在BugkuCTF中,对字符处理和正则表达式的理解和熟练应用是非常重要的技能之一。参赛者需要具备对字符编码、字符串操作、基本正则表达式语法等方面的知识,并能够灵活运用这些技巧来解决各种与字符和正则相关的题目。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值