Bugku CTF-web12本地管理员

Bugku CTF-web12本地管理员


知识积累

base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法。
XFF伪造请求头: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

简单来说,XXF是告诉服务器当前请求者的最终ip的http请求头字段,通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip。


解题

在这里插入图片描述
看到下面一串nnnnnn,就很奇怪,之后查看网页源码,在这串n的后面有一段信息dGVzdDEyMw(忘了截图了),用base64解码后,得到test123,可能是个密码;

在这里插入图片描述
输入任意账号密码,返回信息;
在这里插入图片描述

输入任意账号和密码,用burpsuite抓包,之后修改报文信息。

在这里插入图片描述

因为题目提示是本地管理员,所以用户名我首先想到了admin,密码是解密出来的,在添加X-Forwarded-For:127.0.0.2伪造本地IP请求头,GO后,flag值就展示在响应信息里了。
在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值