hgame-week1-web--Become A Member

已于 2023-01-13 18:18:14 修改
阅读量754 收藏
点赞数
分类专栏: wp 文章标签: web安全
于 2023-01-13 18:16:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57861415/article/details/128677762
版权

这个题目我是在赛后看到有个师傅发了b站,看到第一步的时候就突然发现自己的注意点一直是错的,

第一步 (UA头)

发现啥也没有,于是抓个包发现set-cookie(于是我的注意力一直都在cookie上了/😭)

这一步应该在UA上做文章,应该把UA头改成Cute-Bunny,这样才能达到身份验证(我没想到/😭)

返回包:

第二步(cookie)

 这一步才是cookie

把cookie改成code=Vidar

返回包:

第三步(referer)

来源一般用的是referer,具体是干啥的建议查查,我也不熟/doge

所以我们在请求包加上referer:bunnybunnybunny.com

 返回包:

 第四步(xff)

本地请求,我们一般用的是xff,之前做题的时候也碰到过其他的比如X-Real-IP(好像是这个,我忘了 )

所以我们这一步加上X-Forwarded-For:127.0.0.1

返回包:

 第五步(json)

最后就以json请求得到flag

json:


{
"username":"luckytoday",
 "password":"happy123"
}

 flag:

glan想睡觉
关注
专栏目录
hgame2023-week1
247533的博客
01-12 1331
hgame week1
hgame2022-week1
网安小菜鸡
01-15 4889
hgame2022-week1 wp(部分)
2023 hgame --- week1 wp
3tefanie丶zhou的博客
01-13 2981
【何谓遗憾,不可再得之物,不可再遇之人,便是遗憾】
hgame202301 week1 web writeup
Altering_Ji的博客
02-14 918
hgame2023week1web方向的四道题,重难点是网络爬虫题Guess Who I Am
hgame2023 week1 writeup
01-15 4434
hgame2023 WEEK1
Hgame-week 1(部分)
BvxiE的博客
01-27 1270
它被设计为 tcpdump 和其他使用 libpcap 库的软件使用的原始 PCAP 格式的可扩展继承者.目前,只有 Wireshark 可以读取和写入 PCAPNG 文件,而 libpcap (以及使用它的软件)只能读取其中一些文件。windows的图片查看器会忽略错误的CRC校验码,因此会显示图片,但此时的图片已经是修改过的,所以会有显示不全或扭曲等情况,借此可以隐藏信息。并且压缩文件数据区的全局方式位标记为0000(未加密)则会被识别为加密,但是文件并没有真正的加密,也就是所说的伪加密。
HGAME 2023 Week1
ph0ebus的博客
01-13 3140
Week1的大多数题对我这样的萌新还是很友好的,虽然但是还是很多没解出来,不过还是学到了蛮多东西,浅浅记录一下。
hgame week1 Become A Member(http请求头,json请求)
m0_74119193的博客
01-19 163
http请求头,json请求
2023HGAME week1 部分wp
arcuied
01-18 488
2023HGAME week1 部分wp
HGAME cdcollector-开源
04-24
【标题】"HGAME cdcollector-开源"是一个针对游戏收藏管理者的开源项目,它扩展了原有的cdcollector系统,特别设计用于管理和记录大量的电子游戏数据,尤其是HGAME(可能指的是成人向游戏)的数据库。这个系统利用...
hgame-2018 CTFwp(杭电信安)week1
苟有恒,必有三更眠,五更起。
03-04 3095
原题链接 由于开放时间短,不知道什么时候结束。我会将题目的大致内容以图片形式down下来。 web1 Are you from Europe? URL http://123.206.203.108:10001/European.html 一看题,就感觉想是用burp抓包做,来自欧洲,就想到改语言,accept-langue字段。 但是,我试了en,gk等等值,并没有什么卵用。而且发现
CVE-2024-1112 Resource Hacker 缓冲区溢出分析
信息安全
09-23 925
CVE-2024-1112 是 Resource Hacker 软件的一个缓冲区溢出漏洞。该漏洞存在于版本 3.6.0.92 中。由于软件在处理命令行中的文件路径时未对文件字符串长度进行限制,过长的字符串参数导致内存被过度写入,从而引发缓冲区溢出。
网络安全证书考取相关知识
aa98865646的博客
09-21 708
作者是个想进入网络安全行业发展的小白,目前没啥钱,是想自学以后挖漏洞赚钱的,看了这两个算是比较常见的证书看起来都要花不少钱的话,我感觉自己还是先自学一段时间再说吧,实战更重要,这些证书等以后有机会慢慢考吧,如果需要的话。欢迎大佬补充其他适合小白考取的证书,目前感觉4800+480的NISP一级证书比较适合在学校的小白,CISP的话再NISP考到二级以后再加钱4000就可以换成CISP了,NISP适合学生,CISP适合职场啊,不过都是要钱啊。
网络安全详解
weidl001的博客
09-21 1456
网络安全(Cybersecurity)是指保护网络系统、设备、程序及数据免受攻击、损坏或未授权访问的实践。其核心目标是确保信息的机密性、完整性和可用性。机密性(Confidentiality):确保信息仅被授权的人员访问。完整性(Integrity):保护信息不被未授权的修改或破坏。可用性(Availability):确保信息和资源在需要时可被访问和使用。
数据包签名校验的Web安全测试实践
INSBUG的博客
09-23 972
客户端和服务端使用相同的算法生成sign,服务端接收到请求后,先计算一次sign,如果业务参数、时间戳、其他参数中有一个被修改过,得到的sign与客户端发送的sign就会不一致,签名校验就会失败,服务端便不再处理请求。在金融类的Web安全测试中,经常可以见到Web请求和响应数据包加密和签名保护,由于参数不可见,不能重放请求包,这类应用通常不能直接进行有效的安全测试,爬虫也爬不到数据。点击“参数明文”控件,获取到了解密后的完整请求包,对明文参数进行安全测试,重放后插件会自动完成密文构造。
国产操作系统(统信UOS)网络安全等级保护基础安全加固
最新发布
2401_84434570的博客
09-26 604
统一操作系统UOS是由多家企业共同打造的中文国产操作系统。一、设置口令复杂度策略和有效期首先安装libpam-pwquality依赖包口令复杂度策略通过libpam-pwquality依赖包进行设置依赖包的安装命令:sudo apt-get install libpam-pwquality。依赖包的查看方式执行命令:dpkg -l libpam-pwquality。执行命令:vim etc/pam.d/common-passwd。
网络安全:腾讯云智、绿盟、美团、联想的面经
persist213的博客
09-21 1509
网安面试指南》《Java代码审计》《Web安全》我从4月份找到现在一共面了四家公司,来和大家分享一下我的面试经历(本文来自一位朋友的面试经历)。
虚拟机挑战解析:hgame-week4-easyvm与cg-ctf WxyVM
"虚拟机题目解析,包括hgame-week4-easyvm、cg-ctf wxyVM1/2,涉及虚拟机基础知识、数据处理及逆向工程" 虚拟机技术是计算机科学中的一个重要领域,它允许在单一硬件系统上运行多个操作系统实例。在网络安全和密码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值