CTF-WEB-01-localhost access only!!

最新推荐文章于 2024-05-10 00:05:37 发布
最新推荐文章于 2024-05-10 00:05:37 发布
阅读量2.9k 收藏 2
点赞数 1
文章标签: php
原文链接:http://www.cnblogs.com/IMBlackMs/p/11272848.html
版权

                           

  题目地址:http://http://web.jarvisoj.com:32774/

     

0x01 题目分析

  localhost access only字面意思只允许本机登录

  考虑添加header: 

           X-Forward-For          127.0.0.1

    来构造一个“原始客户端为localhost”的报文,达到access的目的

0x02 代理设置(浏览器代理设置提前设置好,第一次没抓到,发现我没设置代理)

    浏览器代理:

      

    burpsuit代理:

       

0x03 burpsuit抓包

    

0x04 插入X-Forwarded-For 127.0.0.1

    

    点"Forward"发送

     

 

转载于:https://www.cnblogs.com/IMBlackMs/p/11272848.html

weixin_30402085
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF-Web-Challenge:使用PHPWeb中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
bugku ctf 程序员本地网站(请从本地访问)
qq_42777804的博客
08-01 1万+
打开网站之后 使用burp抓包 修改添加Client-ip: 127.0.0.1 (相当于从本地访问哈哈哈) forward即可
蓝鲸ctf writeup 本地登录
朝歌
05-13 6160
题目地址:http://39.107.92.230/web/web3/index.php点开链接,可以发现如下图所示。打开burpsuite抓包。然后伪造ip地址提交过去。加上:X-Forwarded-For: 127.0.0.1又发现,显示不是管理员,从下图中我们可以看见,cookie:Set-Cookie: isadmin=0我们尝试着把0改成1。我们得到flag。...
网络安全最新CTF-WEB_ctf代码,系列篇
最新发布
2401_84132685的博客
05-10 968
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化资料的朋友,可以点击这里获取一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长! parse_url()函数函数") parse_url()函数:把URL按协议,POST头(www.baidu.com),路径,查询目标等进行解析——只需要校验h
一个奇怪的问题Only local connections are allowed.
yinshuilan的专栏
11-16 2140
在cmd中运行“chromedriver.exe --verbose --whitelisted-ips=''”如果直接从代码本地使用 ChromeDriver,只需在 ChromeDriver init 之前插入以下行。这个参数需要注入 chromedriver exe,而不是 chrome。“白名单允许远程连接”这似乎有效,但我无法弄清楚我在代码中怎么使用。我想要能够通过远程打开 chrome 浏览器进入 url 的解决方案。或 docker 通过传递 JAVA_OPTS env。
CTF新手,请问从本地访问flag!
热门推荐
algae
08-04 8万+
本地访问加header 127.0.0.1 http://123.206.87.240:8002/localhost/ burpsuite(强大,但麻烦,有点慢) 抓包加上下面一句话 X-Forwarded-For: 127.0.0.1 (或者client-ip: 127.0.0.1,不同题不一样) ip(简单快捷) 3. header(个性化定制头) 4.hackbar(最快) http://123.206.31.85:1003/ ...
CTF攻防世界web题解题思路XFF-REFERER
m0_63687631的博客
12-25 3050
1.打开网页 2.然抓个包改变下ip 3.用X-Forwarded-For改变ip,如图: 4.因为要重复使用所以要用repeater,然后发送 5. 然后是这样,点击render 6.最后输入referer 7.点render,可得到flag 知识点: 1.ip地址可以用,X-Forwarded-For改 2.referer是就是来源网站。 ...
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛中,可利用该工具自动识别编码类型并解码,快速解决misc类别的密码题目。 其他说明: 该工具具备智能判断密码...
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
CTFHub技能树 Web-SSRF 内网访问
Senimo
07-01 424
CTFHub技能树 Web-SSRF 内网访问 hint:尝试访问位于127.0.0.1的flag.php吧 启动环境,访问页面为空白,查看URL: http://challenge-25917a94dca3ca9a.sandbox.ctfhub.com:10800/?url=_ 其中存在 GET 方式的传参:url=_,将127.0.0.1/flag.php地址填入尝试访问: http://challenge-25917a94dca3ca9a.sandbox.ctfhub.com:10800/?url=
ctfshow SSRF
..
02-28 1003
web 351 直接读取本地文件 url=file:///var/www/html/flag.php url=127.0.0.1/flag.php web352 这里要求是http或者https协议,只需要满足这个就可以了。 url=http://localhost/flag.php url=http://127.0.0.1/flag.php url=http://127.1/flag.php url=http://0.0.0.0/flag.php url=http:/...
#ctf解题姿势#http协议
vircorns的博客
08-12 1268
小结指路 Method GET 参数数据跟在地址栏以后,以?开头,用&分割 明文传输,不适合提交敏感密码 四舍五入 bugku简单题目GET POST Hackbar或者cmd后curl -v URL -X POST -d post=flag 提交参数数据没有限制 bugku简单题目POST XCTF简单题目 HEAD PUT DELETE TRACE CONNECT O...
CTF-web 常用软件安装及环境搭建
个人博客:https://www.mrzry.top
03-07 1万+
标签:CTF, web安全, 软件安装, 环境搭建, Typora, phpStudy, python, Sublime Text, AntSword, JDK1.8, Burp Suite
一次失败的CTF尝试记录(SSRF利用)
痴人说梦梦中人
10-13 989
访问url,获取index.php代码如下: <?php if(!(isset($_POST['url']))){ show_source(__FILE__); } // include_once "ping.php"; if (isset($_POST['url'])) { $link = $_POST['url']; if(check($link)){ $curlobj = curl_init(); curl_setopt($curlobj
[虎符CTF 2021]Internal System
cjdgg的博客
11-02 2940
[虎符CTF 2021]Internal System 虎符的这题看到很多大佬都在说这道题很好,所以找来做一做 这题一开始根据提示/source有东西,可以直接找到源代码 const express = require('express') const router = express.Router() const axios = require('axios') const isIp = require('is-ip') const IP = require('ip') const UrlPars
Jarvis-OJ-Web writeup
a370793934的专栏
11-28 1085
PORT51 访问了页面发现让你 Please use port 51 to visit this site. 明显是绑定的端口,不可能用51端口去访问啊,很困惑结果是自己去访问的时候需要用到51端口啊…原来如此,使用curl中的–local-port命令 --local-port <端口号>[-num]设置连接使用的首选端口号或本地端口范围。请注意,端口号是一种稀缺资源,繁忙...
ctfhub--web--SSRF(1.内网访问2.伪协议读取文件 3.端口扫描 4.POST请求 5.文件上传 8.URL Bypass 9.数字IP Bypass) )
feiniaotjx的博客
10-10 546
ctfhub--web--SSRF1.内网访问2.伪协议读取文件3.端口扫描4.POST请求 1.内网访问 传参给url,访问一个地址文件 2.伪协议读取文件 读取网站文件 3.端口扫描 通过返回的内容判断端口是否存在 import requests try: for i in range(8000,9001): url='http://challenge-43493ad3b38edf3f.sandbox.ctfhub.com:10800/?url=127.0.0.1:'+
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值