Bugku CTF-web12本地管理员

最新推荐文章于 2024-08-03 21:32:11 发布
最新推荐文章于 2024-08-03 21:32:11 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44023403/article/details/116140331
版权

Bugku CTF-web12本地管理员

知识积累

base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法。
XFF伪造请求头: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

简单来说,XXF是告诉服务器当前请求者的最终ip的http请求头字段,通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip。

解题

在这里插入图片描述
看到下面一串nnnnnn,就很奇怪,之后查看网页源码,在这串n的后面有一段信息dGVzdDEyMw(忘了截图了),用base64解码后,得到test123,可能是个密码;

在这里插入图片描述
输入任意账号密码,返回信息;
在这里插入图片描述

输入任意账号和密码,用burpsuite抓包,之后修改报文信息。

在这里插入图片描述

因为题目提示是本地管理员,所以用户名我首先想到了admin,密码是解密出来的,在添加X-Forwarded-For:127.0.0.2伪造本地IP请求头,GO后,flag值就展示在响应信息里了。
在这里插入图片描述

看我的眼色行事
关注
专栏目录
Bugku--CTF-- 1、本地管理员 2、网站被黑
记录笔记
07-07 1290
Bugku--CTF--1、本地管理员 2、网站被黑
BugkuCTF-WEB题本地管理员
am_03的博客
08-25 1799
基础知识: base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一类基于64个可打印字符来表示二进制数据的方法。 XFF伪造请求头: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原本的IP地址的HTTP请求头字段。 简单来说,XXF是告诉服务器当前请求者的最后ip的http请求头字段,通常可以直接通过修改http头里的X-Forwarded-For字段来仿造请求的最后ip。 打开场景: 为一个登录界面 尝试输
BugkuCTF web12_本地管理员 writeup
Mitchell_Donovan的博客
12-21 1080
原题链接 key:base64解码+XFF伪造请求头 ①查看源代码发现了线索,拿去base64解码得到字符串‘test123' ②猜测用户名admin,密码test123,尝试登陆,发现登陆失败 ③题干反复强调”本地",可以想到用伪造XFF请求头来访问 知识补充:伪造XFF头(IP欺骗) ④burpsuite抓包,送到repeater,然后在请求头部 Headers 添加 X-Forwarded-For:127.0.0.1,go一下即可得到flag ...
CTF WEB基础】本地管理员 Bugku CTF
最新发布
yu_fly_fish的博客
08-03 524
一起变强!
Bugku web12 本地管理员
weixin_44522540的博客
02-22 1439
八、web12 本地管理员 打开发现有一串nnn,看下源码 发现一串被注释掉的字符串,猜测base64编码,解码后是test123,应该是密码。尝试用admin/test123登陆,IP被禁了 应该就不是爆用户名和密码的问题了 又题目描述本地管理员,联系本地管理员登陆,burp抓包伪造XFF头 go一下就得到flag啦 ...
BugKu-----本地管理员
qq_45616570的博客
06-24 1033
title: BugKu-----本地管理员 date: 2021-06-24 19:48:44 description: 前言:零度安全搭建博客后的第N篇文章 top: categories: BugKu刷题 tags: 网络安全 BugKu BugKu-----本地管理员 题目 解题思路 本地管理员可以联想到的是ip的问题,又是xxf 解题过程 先尝试用admin/admin进行登录,发现ip被记录。需要本地管理员 使用插件X-Forword将ip修改为127.0.0.1 源码里看到的b.
bugku 本地管理员
m0_62709637的博客
07-04 503
bugku 本地管理员
CTF之本地管理员
qq_74263993的博客
04-25 261
盲猜一波账号admin,使用密码test123得到flag{3da7e7d140f5c345b2a314e9e82cb2c9}这里我们在提交的数据请求包里加一个x-forwarded-for: 127.0.0.1,伪造IP进行访问,发现提示变了。拿到题目随便登录一下发现提示IP禁止访问,请联系本地管理员登陆,IP已被记录.我们再看网页源码,发现了base64编码,解码得到test123。所以我们使用伪造数据包来源 IP。
CTF|BugkuCTF-WEB解题思路
这里是一处长期不更新的博客
06-15 1972
截止至练习题【login4】,仅提供解题思路。 WEB2 按F12直接可得flag 计算器: 直接按F12,将maxlength修改,输入正确结果即可得到flag web基础$_GET URL输入:http://123.206.87.240:8002/get/?what=flag web基础$_POST 使用hackbar工具,按F12,打开Post data,传递what=flag。 矛盾 这里是使用is_numeric遇到%00截断的漏洞,这里构造 http://120.24.86.145:8002.
BugkuCTF-WEB-管理员系统
Jaychouzzk
11-16 2294
      打开题目随便输入了一下,发现IP禁止访问了,所以打算F12看看有啥猫腻 - -   这么长的滚动条,肯定有猫腻拖下去瞅瞅有啥提示点,发现一处提示的地方,得到一串base64加密 解密得到test123,尝试一下user:admin,pass:text123,结果还是不行,仍然提示 “IP禁止访问,请联系本地管理员登陆,IP已被记录.”         ...
CTF平台题库writeup(二)--BugKuCTF-WEB(部分)
渗透、攻防、CTF、编程
06-26 4196
web2 flag在源码的注释里 计算器 改一下text文本框的最大输入位数>1即可 web基础$_GET GET方式传参即可 web基础$_POST post方式传参即可 矛盾 $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } 这题要求传参num不能是数字,而且num=1,一开始没有什么思路,认为是弱类型的绕过,传了true进去,发现无效,问
Web】-本地管理员
年轻的痞子的博客
05-26 211
一、打开场景 二、查看源码 一定扫完全部的信息,在最后有编码 看着像是Base64编码,于是解码试试 猜测test123可能是账号密码,于是试试 集合题目本地管理员 admin test123登录也是失败的 于是用XFF去伪造一下IP (插件采用的是火狐中的插件) 用admin test123登录成功,得到flag ...
CTF练习题[WEB]-本地管理员
weixin_45246254的博客
10-11 3499
https://ctf.bugku.com/challenges/detail/id/79.html 拿到题目尝试登陆失败 提示IP禁止访问 抓包发现有注释信息 请求包添加 X-FORWARDED-FOR:127.0.0.1 Referer: localhost admin/test123 伪造本地IP,进行登录,获取flag
Bugku CTF Web 头等舱 && 变量1 && 本地管理员
网安小趴菜
10-29 390
Bugku CTF Web 头等舱 && 变量1 && 本地管理员 个人wp
BugKu-web篇-web12
jiuyongpinyin的博客
05-29 114
web12 这道题先随便尝试一个用户名和密码 提示IP地址禁止访问,这道题这似曾相识的感觉,让我想到了一个html的请求头的参数: X-Forwarded-For,它是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。 所
BugkuWEB:本地管理员
Pai_Space
10-25 258
1. 首先我们进入场景 看到登录框随便输入用户名admin,密码1234先试试 发现ip禁止访问 看一眼F12发现小提示为base64编码 解码得到test123 推测是密码 重新登陆,发现无法访问,伪造ip进行登录 抓包添加XXF请求头,并输入admin和test123 发送 得到flag ...
bugku-writeup-web-本地管理员
dark的博客
06-14 223
bugku-web12解题思路记录。” ​ 01 — 解码 按F12查看源码,发现登陆密码。 使用base64在线工具解码,得到密码为test123。 02 — 本地登陆 输入用户名:admin,密码:test123,提示无法登陆,并显示“IP禁止访问,请联系本地管理员登陆,IP已被记录”。可以推断需要本地登陆,因此,打开Burp suite抓包,在Proxy查看HTTP history。 发送到Repeater,添...
CTF学习第十八站——BugKu的本地管理员
qq_41174589的博客
10-14 221
通过反馈得知此题考查XFF伪造,用burp抓包,新增X-Forwarded-For:127.0.0.1,将Origin和Referer后的参数修改为127.0.0.1,得到flag。先查看页面源代码,在一堆n后面找到一个奇怪的注释,看到两个等号,base64解码后得到text123。
bugku ctf sqli-0x1题解
03-23
bugku ctf是一个CTF(Capture The Flag)比赛平台,提供各种类型的安全挑战题目供参赛者解答。sqli-0x1是其中一个SQL注入题目,下面是该题目的解题思路: 1. 题目描述:sqli-0x1是一个简单的SQL注入题目,要求获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值