BUUCTF Basic 解题记录--BUU BURP COURSE 1

最新推荐文章于 2024-04-08 21:22:02 发布
最新推荐文章于 2024-04-08 21:22:02 发布
阅读量1k 收藏 4
点赞数 2
文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43171033/article/details/133671244
版权

看题目就能想到肯定跟burpsuite工具相关,直接打开准备分析数据

1、打开靶场链接,显示如下信息,只能本地访问:

2、应该使用X-Real-IP,将这里的IP设置成127.0.0.1不就是本地访问了吗,哈哈哈

3、将proxy的信息转到repeater区域,尝试看看有什么结果,发现有一个默认用户名和密码的登录界面。

4、将标红的一段 X-Real-IP:127.0.0.1 加到proxy中,再转发

5、查看浏览器果然出现了登录页面,如下图所示:

6、点击登录,在proxy截获的头信息中添加上本地登录的信息  X-Real-IP:127.0.0.1,再转发即可得到flag,成功

小白的小肉丸
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF basic BUU BURP COURSE 1 & LFI Labs
网安小趴菜
08-27 2330
BUUCTF basic BUU BURP COURSE 1和LFI Labs
BUUCTF--BUU BURP COURSE 1
qq_46263951的博客
07-09 3786
根据提示只能本地访问我们需要伪造一个本地地址 当使用X-Forwarded-For时发现并没有成功访问,e...我们尝试另一种方法 当使用X-Real-IP时我们可以成功进入 登录进去之后我们即可获得Flag 总结: 本题主要考察伪造本地地址的方法 X-Forwarded-For 和 X-Real-IP 的区别 ...
BUU UPLOAD COURSE 1-文件上传(1),网络安全开发面试问题回答技巧
m0_60452293的博客
04-08 508
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。(img-EcbncQVo-1712582509632)]试辅导),让我们一起学习成长!
BUU BURP COURSE 1【basic
weixin_52942048的博客
10-07 438
(2) remote_addr、X-Real-IP、X-Forwarded-For,这3个头参数需要详细了解。(1) 看到这里估计就蒙了,这怎么玩?这提示就是伪造一个本地请求,就是头信息中传一个127.0.0.1;
BUUCTF/BUU BURP COURSE 1
weixin_44041994的博客
03-22 394
使用burp suite拦截,在数据包中添加字段:X-Real-IP: 127.0.0.1 以及 Content-Length: 0。在数据包中添加X-Real-IP: 127.0.0.1后发送,成功获得flag。同样打开burp suite拦截后,点击登录。打开靶机提示,页面提示"只能本地访问。发送后进入一个登录界面。输入flag,闯关成功。
BUU BURP COURSE 1
朋克归零膏的博客
09-27 962
BUU BURP COURSE 1
BUUCTF Basic BUU BURP COURSE 1解题WP
风儿轻轻吹
03-27 2019
1.启动靶机 访问靶机发现网页提示只能本机访问: 可能是检查请求头只的X-Real-IP字段。 2.使用BP测试 BP抓包,添加X-Real-IP:127.0.0.1测试,发现返回登录界面且包含登录信息: 3.根据上述信息,更改使用POST方法提交username=admin&password=wwoj2wio2jw93ey43eiuwdjnewkndjlwe 获取flag{69a567b4-7864-47f6-b854-186ad981de40} ...
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
POSN:POSN-BUU的源代码
04-01
1. **面向对象编程**:C++支持面向对象编程(OOP),这可能意味着代码中包含多个类,每个类代表了系统中的一个实体或功能,如定位器、传感器、数据处理器等。类之间可能存在继承、封装和多态性等特性。 2. **模板和...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
逗比学CTF.day5
weixin_45963786的博客
01-20 1767
BUU BURP COURSE 1 比较基础的IP伪造题目,基础题get到新的知识点,通过伪造X-Real-IP字段实现本地访问 一、原题无源码 打开后,只提示需要本地访问。 二、伪造xff 一说到伪造IP地址,实现本地访问,第一想到的就是X-Forwarded-For字段 但是仍然提示“只能本地访问”,服务器检测的不是xff这个字段。然后只能去问度娘 X-Real-IP字段映入眼帘 三、伪造X-Real-IP字段 这次不在提示“只能本地访问”,说明IP绕过成功,下面继续看html编码 三、代码分
BUU BURP COURSE
Firebasky的博客
07-23 2120
BUU BURP COURSE的wp 好久都没有发博客文章了,最近都是在自己学习和做题还有学车。开心的是现在也是有本本的人了。好了废话不多说进入正题。 打开题目就一个提示只能本地访问直接就想到了X-Forwarded-For的伪造 结果还是提示只能本地访问。说明我们的方法不对。 然后自己通过查阅资料发现在http里面除了可以使用X-Forwarded-For以外,还可以使用X-Real-IP. 于是乎我尝试X-Real-IP: 127.0.0.1 发现出现了用户名密码。说明我的做法是正确的。 之后就是点击登
网络安全CTF】BUUCTF(Basic篇)
信安是不可或缺的一部分!
05-11 6187
参考之前写的:https://blog.csdn.net/qq_39583774/article/details/120722112?此题详解可以看:https://blog.csdn.net/weixin_43965597/article/details/126381171。admin 加密码登陆注意这里不是md5加密,开始看错了,解半天没解出发现是明文存储的,无语。使用其他方式,发现这里不对,上传一个phpinfo发现能够执行,但是执行的jpg格式。
第四天——CTF常用基础知识点-大杂烩
NYG694的博客
07-12 221
XSS (Cross-Site Scripting) 攻击则利用网站对用户输入的信任,将恶意的脚本注入到页面中,使得其他用户在浏览该页面时执行这些恶意脚本。攻击者可以在用户的浏览器中执行任意的脚本代码,例如窃取用户的登录凭证、篡改页面内容或进行其他针对用户的攻击。因此,XXE攻击主要针对XML解析器和应用程序中的XML处理逻辑漏洞,而XSS攻击则专注于利用Web应用程序中对用户输入的不当处理。CSRF是借用户的权限完成攻击,攻击者并没有拿到用户的权限,而XSS是直接盗取到了用户的权限,然后实施破坏。
BUUCTF basic BUU XSS COURSE 1 & BUU XXE COURSE 1
网安小趴菜
09-03 6074
BUUCTF basic BUU XSS COURSE 1 & BUU XXE COURSE 1
实验四 /*CTF实践*/
Tauil的博客
01-07 355
目的:获取靶机Web Developer 文件/root/flag.txt中flag。 基本思路:本网段IP地址存活扫描(netdiscover);网络扫描(Nmap);浏览HTTP 服务;网站目录枚举(Dirb);发现数据包文件 “cap”;分析 “cap” 文件,找到网站管理后台账号密码;插件利用(有漏洞);利用漏洞获得服务器账号密码;SSH 远程登录服务器;tcpdump另类应用。 实施细节如下: 1、发现目标 (netdiscover),找到WebDeveloper的IP地址。截图。 nmap.
BUUCTF初学解题记录——Basic
u010152530的博客
05-04 5804
目录Linux LabBUU LFI COURSE 1Upload-Labs-LinuxBUU CODE REVIEW 1BUU BRUTE 1未完待续。。。 Linux Lab # 地址和端口为示例,需要更改为动态分配后的地址和端口 ssh root@node233.buuoj.cn -p 233 # 输入默认密码123456 cat /flag.txt # 输出flag: # flag{ef2a6029-xxxx-xxxx-xxxx-86fb808b12f2} # 一开始以为只要大括号的内容就行了。。。
BUU SQL COURSE 1
07-27
BUU SQL COURSE 1是一个关于SQL注入的课程。在这个课程中,学习者将学习如何通过注入恶意代码来绕过数据库的安全措施,从而获取敏感信息。课程内容包括找到注入点、闭合语句、带入语句进行爆破等技术。通过这些技术...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值