Bugku,WEB:本地管理员

最新推荐文章于 2024-03-07 15:41:48 发布
最新推荐文章于 2024-03-07 15:41:48 发布
阅读量217 收藏 1
点赞数
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62260856/article/details/120950772
版权

1.

首先我们进入场景

看到登录框随便输入用户名admin,密码1234先试试

发现ip禁止访问

 

看一眼F12发现小提示为base64编码

解码得到        test123

推测是密码

 重新登陆,发现无法访问,伪造ip进行登录

抓包添加XXF请求头,并输入admin和test123

发送

得到flag

 

 

Part 03
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
IP欺骗(XFF头等)
Sea_Sand息禅
11-16 8552
很多时候需要伪造一些http头来绕过WAF 1.X-Forwarded-For: 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。标准格式如下:X-Forwarded-For: client1, proxy1, proxy2。...
bugkuctf解题-WEB
05-04
bugku writeup,web解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
WEB用户登录界面用户名,密码,确认密码的逻辑关系实现
m0_51238796的博客
10-14 3637
在编写web用户登录界面的时候,考虑到用户登录时的人性化提示。特此在html界面上使用javaScript来实现用户登录相关逻辑的实现,如用户名、密码、确认密码不能为空等,还有密码和确认密码一致性检验,和不符合要求时的相关人性化提示 前端页面如下: 相关代码如下: ...
Bugku---本地管理员
最新发布
2201_75556700的博客
03-07 823
【代码】Bugku---本地管理员
web12:本地管理员(http请求,伪造IP,XFF字段)
y17861077326的博客
02-02 2495
这道题,提示是IP禁止访问。看了答案以后,说是伪造本地IP。 不允许外来IP访问,那么应该就是本地IP可以访问了,本地IP又称回送地址,用于本地软件测试,进程间通信。 伪造本地IP的方法是在http头上加一个字段X-Forwarded-For:127.0.0.1 另外在网页源码里有一串Base64字符,解码后是test123 管理员系统的账号常为admin,所以猜test123是其密码。 所以伪造http头,加一个字段伪造来源为本地IP即可破解题目。 ...
bugku-本地管理员
2202_75317918的博客
03-02 387
bugku 本地管理员
Bugku之本地管理员
金 帛的博客
03-16 3004
BugkuWP
bugku题的web类解析
01-29
这个是我自习写的bugkuweb的解析,其中四个题因为各种原因没有做出来,分别为welcome to bugku,孙xx的博客,login2,login4。也许有写的不好的地方,见谅,
bugku web题INSERT INTO注入.docx
05-16
bugku web题INSERT INTO注入 明确注入点,是走的http报头的x-forwarded-for。  我尝试了bool型注入,发现自己构造的语句在自己数据库中会报错,但是这里并没有错误报告,因此考虑基于时间的盲注
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 看到url上的参数有base64,解码发现是key.txt 把改参数换成index.php,观察发现line按行返回 所以自己练练手写了个脚本跑出来
web留言板
06-06
Web留言板 (0分) 设计一个简单的基于Web的留言板,要求如下:1)系统中所有页面,如果用户没登录,则让用户返回到登录页面login.jsp(说明:login.jsp页面填写用户的用户名和密码);2)留言板(message.jsp)页面中...
【愚公系列】2023年06月 Bugku-Web(本地管理员
时光隧道
06-26 5800
是一个HTTP请求头,用于标识客户端(例如浏览器)的IP地址。在某些环境下,因为客户端通过了多个代理服务器来访问服务器,所以服务器不能直接获得客户端的真实IP地址,而只能获取到代理服务器的IP地址。此时,代理服务器会在HTTP请求头中添加一个字段,将客户端的真实IP地址添加到这个字段中。这样,服务器就可以通过解析字段中的IP地址,知道客户端的真实IP地址。例如,如果客户端使用IP1地址访问了一个代理服务器,代理服务器再使用IP2地址访问另一个代理服务器,最终访问了服务器,则HTTP 请求头中的。
bugku-writeup-web-本地管理员
dark的博客
06-14 206
bugku-web12解题思路记录。” ​ 01 — 解码 按F12查看源码,发现登陆密码。 使用base64在线工具解码,得到密码为test123。 02 — 本地登陆 输入用户名:admin,密码:test123,提示无法登陆,并显示“IP禁止访问,请联系本地管理员登陆,IP已被记录”。可以推断需要本地登陆,因此,打开Burp suite抓包,在Proxy查看HTTP history。 发送到Repeater,添...
BUGKU--本地管理员
m0_65766842的博客
03-01 119
1
bugku 本地管理员
m0_62709637的博客
07-04 469
bugku 本地管理员
Web】-本地管理员
年轻的痞子的博客
05-26 184
一、打开场景 二、查看源码 一定扫完全部的信息,在最后有编码 看着像是Base64编码,于是解码试试 猜测test123可能是账号密码,于是试试 集合题目本地管理员 admin test123登录也是失败的 于是用XFF去伪造一下IP (插件采用的是火狐中的插件) 用admin test123登录成功,得到flag ...
BugkuCTF-WEB题本地管理员
am_03的博客
08-25 1722
基础知识: base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一类基于64个可打印字符来表示二进制数据的方法。 XFF伪造请求头: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原本的IP地址的HTTP请求头字段。 简单来说,XXF是告诉服务器当前请求者的最后ip的http请求头字段,通常可以直接通过修改http头里的X-Forwarded-For字段来仿造请求的最后ip。 打开场景: 为一个登录界面 尝试输
bugku sodirty
09-03
- *1* *3* [Bugku解题 web 【四】](https://blog.csdn.net/weixin_46703850/article/details/115184847)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Part 03

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值