【Web】-本地管理员

已于 2022-05-26 10:51:15 修改
阅读量180 收藏
点赞数
分类专栏: # Web 文章标签: CTF flag xff
于 2022-05-26 10:45:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32819579/article/details/124979343
版权

一、打开场景
在这里插入图片描述
二、查看源码
一定扫完全部的信息,在最后有编码

在这里插入图片描述
看着像是Base64编码,于是解码试试
在这里插入图片描述
猜测test123可能是账号密码,于是试试
在这里插入图片描述
结合题目本地管理员
admin test123登录也是失败的
于是用XFF去伪造一下IP (插件采用的是火狐中的插件)
[学习参考]:
X-Forwarded-For的一些理解
HTTP X-Forwarded-For 介绍
在这里插入图片描述
用admin test123登录成功,得到flag
在这里插入图片描述

y972239567
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LAPS-WebUI:一个用于LAPS的简单易用的Web界面(本地管理员密码解决方案)
05-14
一个用于LAPS的简单易用的Web界面(本地管理员密码解决方案) 设置前提 安装了Microsoft LAPS的有效Active Directory .NET Core 5.0兼容操作系统(Ubuntu / Debian / CentOS / Alpine Linux / Windows / macOS)或...
bugku(web)本地管理员
m0_62709637的博客
11-30 2723
进入场景发F12查看源代码发现提示:dGVzdDEyMw== 根据末尾的等号很容易联想到该密码是base64; base64在线解码得到:test123(这就是密码) Username为admin(从大佬博客里嫖(貌似是因为管理员系统为提示)的不大理解为什么,希望各位小伙伴不吝赐教) 将密码和用户名输入后点击submit显示无法登录,之后用bp抓包 在proxy界面==》右键send to repeatr(快捷键ctrl+r)==》 在row下添加X-Forworded-For:1...
BugkuCTF-WEB题本地管理员
am_03的博客
08-25 1682
基础知识: base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一类基于64个可打印字符来表示二进制数据的方法。 XFF伪造请求头: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原本的IP地址的HTTP请求头字段。 简单来说,XXF是告诉服务器当前请求者的最后ip的http请求头字段,通常可以直接通过修改http头里的X-Forwarded-For字段来仿造请求的最后ip。 打开场景: 为一个登录界面 尝试输
bugku-writeup-web-本地管理员
dark的博客
06-14 205
“bugku-web12解题思路记录。” ​ 01 — 解码 按F12查看源码,发现登陆密码。 使用base64在线工具解码,得到密码为test123。 02 — 本地登陆 输入用户名:admin,密码:test123,提示无法登陆,并显示“IP禁止访问,请联系本地管理员登陆,IP已被记录”。可以推断需要本地登陆,因此,打开Burp suite抓包,在Proxy查看HTTP history。 发送到Repeater,添...
【愚公系列】2023年06月 Bugku-Web(本地管理员
时光隧道
06-26 5795
是一个HTTP请求头,用于标识客户端(例如浏览器)的IP地址。在某些环境下,因为客户端通过了多个代理服务器来访问服务器,所以服务器不能直接获得客户端的真实IP地址,而只能获取到代理服务器的IP地址。此时,代理服务器会在HTTP请求头中添加一个字段,将客户端的真实IP地址添加到这个字段中。这样,服务器就可以通过解析字段中的IP地址,知道客户端的真实IP地址。例如,如果客户端使用IP1地址访问了一个代理服务器,代理服务器再使用IP2地址访问另一个代理服务器,最终访问了服务器,则HTTP 请求头中的。
ctf web本地管理员
god_001的博客
03-05 1374
启动场景,发现是一个登陆网页: 查看网页源代码, 发现最下一行疑似使用了base64加密 解密后果然,得到一串字符:test123 测试管理员账户为admin,密码为test123,得到 再联系题目,可知需要使用本地IP登录, 使用bp抓包,send to repeater,头部添加 X-Forwarded-For:127.0.0.1 发送请求得到结果: X-Forwarded-For X-Forwarded-For 是一个 HTTP 扩展头部,用来表示HTTP请求端的真.
laps-web:一个网站,用于管理对由Microsoft LAPS管理的本地管理员密码的访问
04-28
LAPS Web应用程序提供了一个简单的基于Web且易于移动的界面,用于访问本地管理员密码。 管理员无需安装自定义软件,也无需访问AD管理工具即可访问LAPS密码。 只需提供计算机名称,如果有访问权限,就会显示密码。 ...
rust-web-boilerplate:用于现代Web后端应用程序的Rust Web模板
05-04
您当前的用户应该是开发postgres安装中的管理员,并且应该使用“对等”或“信任”身份验证方法(请参阅pg_hba.conf )。 现在,您可以启动watch.sh脚本,该脚本可以帮助您快速迭代。 它将删除并重新创建数据库并...
arma-server-web-admin:基于Web的Arma服务器管理器
05-06
Arma服务器管理员 一个易于使用的Web管理面板,用于Arma服务器。 特征 在同一管理面板中创建游戏服务器的多个实例 查看从具有当前任务和玩家的实例中查询的服务器状态 下载游戏日志 从本地计算机和Steam Workshop将...
snhc-web:周六社区卫生诊所的Web前端
05-07
敬而远之。 新网站位于 。... 而是将它们放在分支中,然后要求网站管理员在合并之前测试您的分支。 先决条件 您需要git来克隆我们的存储库。 您可以从获得git。 我们还使用了许多node.js工具来初始化运行我们的
谷歌浏览器打开本地堡垒机应用发布服务器cmd的方法
sherlockmj的博客
01-05 911
齐治堡垒机是业界中较为出名的堡垒机,但是依旧存在一些bug。堡垒机是通过应用发布服务器访问web的,如果托管了web且堡垒机管理员没有加固应用发布服务器本地策略,我们可以通过浏览器调用本地的cmd进行一系列操作,但是记得,这时候你的操作会被记录。这里只提供一个信息获取的思路。
Bugku CTF-web12本地管理员
weixin_44023403的博客
04-25 1527
Bugku CTF-web12本地管理员知识积累解题 知识积累 base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法。 XFF伪造请求头: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 简单来说,XXF是告诉服务器当前请求者的最终ip的http请求头字段,通常可以直接通过修改http头中的X-Forwarded-For字段来仿
Bugku web12 本地管理员
weixin_44522540的博客
02-22 1390
八、web12 本地管理员 打开发现有一串nnn,看下源码 发现一串被注释掉的字符串,猜测base64编码,解码后是test123,应该是密码。尝试用admin/test123登陆,IP被禁了 应该就不是爆用户名和密码的问题了 又题目描述本地管理员,联系本地管理员登陆,burp抓包伪造XFF头 go一下就得到flag啦 ...
Bugku,WEB:本地管理员
Pai_Space
10-25 217
1. 首先我们进入场景 看到登录框随便输入用户名admin,密码1234先试试 发现ip禁止访问 看一眼F12发现小提示为base64编码 解码得到test123 推测是密码 重新登陆,发现无法访问,伪造ip进行登录 抓包添加XXF请求头,并输入admin和test123 发送 得到flag ...
BugkuCTF web12_本地管理员 writeup
Mitchell_Donovan的博客
12-21 1054
原题链接 key:base64解码+XFF伪造请求头 ①查看源代码发现了线索,拿去base64解码得到字符串‘test123' ②猜测用户名admin,密码test123,尝试登陆,发现登陆失败 ③题干反复强调”本地",可以想到用伪造XFF请求头来访问 知识补充:伪造XFF头(IP欺骗) ④burpsuite抓包,送到repeater,然后在请求头部 Headers 添加 X-Forwarded-For:127.0.0.1,go一下即可得到flag ...
WEB_管理员系统
weixin_30627341的博客
02-10 344
题目链接:http://123.206.31.85:1003/ 题解: 打开题目,看到如下登录框 常规方法,先查看文件源代码,发现注释 注释中包含“==”,话不都说,肯定为BASE64加密后的结果,因此,对“dGVzdDEyMw==”进行解密,在线解密链接:https://base64.supfree.net/ 点击解密,得到test123 猜想这种登录题,一般就是...
Bugku-CTF管理员系统+程序员本地网站
weixin_34194087的博客
04-20 2075
Day12 管理员系统 http://123.206.31.85:1003/ flag格式flag{} 本题要点:伪造请求头 解释一下伪造请求头~ X-Forwarded-For: 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP。 请求头格式:X-Forwarded-For:client, proxy1, proxy2 cli...
web12:本地管理员(http请求,伪造IP,XFF字段)
y17861077326的博客
02-02 2471
这道题,提示是IP禁止访问。看了答案以后,说是伪造本地IP。 不允许外来IP访问,那么应该就是本地IP可以访问了,本地IP又称回送地址,用于本地软件测试,进程间通信。 伪造本地IP的方法是在http头上加一个字段X-Forwarded-For:127.0.0.1 另外在网页源码里有一串Base64字符,解码后是test123 管理员系统的账号常为admin,所以猜test123是其密码。 所以伪造http头,加一个字段伪造来源为本地IP即可破解题目。 ...
本地管理员
qq_48511129的博客
01-26 250
解题思路:看到登入框,我就会去抓包,发送到Repeater发送请求包,查看回应包。发现这样一段特殊字符。 于是我用Burpsutie编码器进行解码。用base64解出了test123 我猜可能是用户名,密码,但试过后没用,一直弹出ip禁止访问 于是我想到用X-Forwarded-For: 127.0.0.1在repeater中伪造本地ip发送请求包,但还是没用 我又仔细看了一下题目,是本地管理员,于是我猜用户名应该是admin,密码是test123,然后又去构造X-Forwarded-For: 1.
基于web的文件管理系统
最新发布
07-11
管理员可以设置不同用户的访问权限,以确保只有授权用户才能访问和管理特定的文件和文件夹。这在保护敏感信息和确保数据安全方面非常重要。 综上所述,基于web的文件管理系统为用户提供了方便、安全和高效的文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值