BUU BURP COURSE 1【basic】

最新推荐文章于 2024-06-24 16:11:31 发布
最新推荐文章于 2024-06-24 16:11:31 发布
阅读量438 收藏 1
点赞数
分类专栏: BUUOJ-CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52942048/article/details/133631308
版权

1、首先打开链接,显示文字“只能本地访问”

       (1) 看到这里估计就蒙了,这怎么玩?这提示就是伪造一个本地请求,就是头信息中传一个127.0.0.1;

        (2) remote_addr、X-Real-IP、X-Forwarded-For,这3个头参数需要详细了解

2、代理请求,设置头参数 X-Real-IP

3、利用上面的 username和password参数构造一个post请求

AIMHSS
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF Basic BUU BURP COURSE 1解题WP
风儿轻轻吹
03-27 2019
1.启动靶机 访问靶机发现网页提示只能本机访问: 可能是检查请求头只的X-Real-IP字段。 2.使用BP测试 BP抓包,添加X-Real-IP:127.0.0.1测试,发现返回登录界面且包含登录信息: 3.根据上述信息,更改使用POST方法提交username=admin&password=wwoj2wio2jw93ey43eiuwdjnewkndjlwe 获取flag{69a567b4-7864-47f6-b854-186ad981de40} ...
BUU BURP COURSE 1
朋克归零膏的博客
09-27 962
BUU BURP COURSE 1
BUUCTF--BUU BURP COURSE 1
qq_46263951的博客
07-09 3786
根据提示只能本地访问我们需要伪造一个本地地址 当使用X-Forwarded-For时发现并没有成功访问,e...我们尝试另一种方法 当使用X-Real-IP时我们可以成功进入 登录进去之后我们即可获得Flag 总结: 本题主要考察伪造本地地址的方法 X-Forwarded-For 和 X-Real-IP 的区别 ...
BUUCTF/BUU BURP COURSE 1
weixin_44041994的博客
03-22 394
使用burp suite拦截,在数据包中添加字段:X-Real-IP: 127.0.0.1 以及 Content-Length: 0。在数据包中添加X-Real-IP: 127.0.0.1后发送,成功获得flag。同样打开burp suite拦截后,点击登录。打开靶机提示,页面提示"只能本地访问。发送后进入一个登录界面。输入flag,闯关成功。
BUUCTF basic BUU BURP COURSE 1 & LFI Labs
网安小趴菜
08-27 2330
BUUCTF basic BUU BURP COURSE 1和LFI Labs
BUUCTF Basic 解题记录--BUU BURP COURSE 1
weixin_43171033的博客
10-08 1012
6、点击登录,在proxy截获的头信息中添加上本地登录的信息 X-Real-IP:127.0.0.1,再转发即可得到flag,成功。3、将proxy的信息转到repeater区域,尝试看看有什么结果,发现有一个默认用户名和密码的登录界面。2、应该使用X-Real-IP,将这里的IP设置成127.0.0.1不就是本地访问了吗,哈哈哈。4、将标红的一段 X-Real-IP:127.0.0.1 加到proxy中,再转发。看题目就能想到肯定跟burpsuite工具相关,直接打开准备分析数据。
Burpsuite神器使用介绍
07-07
burpsuite神器使用详细介绍,让你从小白进入大神。
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
BUU 论坛的编辑器163Editor
09-21
1. **result.asp**:这可能是一个ASP(Active Server Pages)脚本文件,通常用于服务器端处理用户请求。在编辑器的上下文中,它可能是用来处理用户通过编辑器提交的富文本内容,例如进行数据格式转换或存储到数据库...
POSN:POSN-BUU的源代码
04-01
1. **面向对象编程**:C++支持面向对象编程(OOP),这可能意味着代码中包含多个类,每个类代表了系统中的一个实体或功能,如定位器、传感器、数据处理器等。类之间可能存在继承、封装和多态性等特性。 2. **模板和...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
BUU BURP COURSE
Firebasky的博客
07-23 2120
BUU BURP COURSE的wp 好久都没有发博客文章了,最近都是在自己学习和做题还有学车。开心的是现在也是有本本的人了。好了废话不多说进入正题。 打开题目就一个提示只能本地访问直接就想到了X-Forwarded-For的伪造 结果还是提示只能本地访问。说明我们的方法不对。 然后自己通过查阅资料发现在http里面除了可以使用X-Forwarded-For以外,还可以使用X-Real-IP. 于是乎我尝试X-Real-IP: 127.0.0.1 发现出现了用户名密码。说明我的做法是正确的。 之后就是点击登
【CTF】BUU BURP COURSE 11
最新发布
weixin_42515203的博客
06-24 236
BUU BURP COURSE 11,构造本地访问的header信息!
网络安全CTF】BUUCTF(Basic篇)
信安是不可或缺的一部分!
05-11 6187
参考之前写的:https://blog.csdn.net/qq_39583774/article/details/120722112?此题详解可以看:https://blog.csdn.net/weixin_43965597/article/details/126381171。admin 加密码登陆注意这里不是md5加密,开始看错了,解半天没解出发现是明文存储的,无语。使用其他方式,发现这里不对,上传一个phpinfo发现能够执行,但是执行的jpg格式。
第四天——CTF常用基础知识点-大杂烩
NYG694的博客
07-12 221
XSS (Cross-Site Scripting) 攻击则利用网站对用户输入的信任,将恶意的脚本注入到页面中,使得其他用户在浏览该页面时执行这些恶意脚本。攻击者可以在用户的浏览器中执行任意的脚本代码,例如窃取用户的登录凭证、篡改页面内容或进行其他针对用户的攻击。因此,XXE攻击主要针对XML解析器和应用程序中的XML处理逻辑漏洞,而XSS攻击则专注于利用Web应用程序中对用户输入的不当处理。CSRF是借用户的权限完成攻击,攻击者并没有拿到用户的权限,而XSS是直接盗取到了用户的权限,然后实施破坏。
BUUCTFbasic做题记录(1)
qq_51558360的博客
03-13 2517
Linux Labs 使用ssh连接,用户是 root,密码:123456, -p指定端口,端口是随机的 然后输入yes,后输入密码即可连接上了 ssh -p 25527 root@node3.buuoj.cn BUU LFI COURSE 1 ?file=/var/log/nginx/access.log :包含ngnix的日志记录 BUU CODE REVIEW 1 代码审计: 第一层 get post ?pleaseget=1 pleasepost=2 第二层 md5漏洞 传递md51和
buuctf web 13、[SUCTF 2019]CheckIn
m0_46412682的博客
07-16 1070
buuctf web 13、[SUCTF 2019]CheckIn 开始的页面 1、 先上传一个正常的照片 2、再上传一个php文件,提示illegal suffix 3、上传一个只含一句话木马的后缀为gif的文件,提示内容中有<? 既然过滤了<? ,所以用 4、上传7.gif,但是提示不是gif类型,exif_imagetype是文件内容的头部看是否是对应的照片类型 我们只需要再文件中填写对应的照片头部 上传成功 5、但是要怎么样才能让照片木马执行,我们想到.htaccess
BUU XXE COURSE
m0_62879498的博客
03-26 3107
BUU XXE COURSE 我们发现输入得用户名以 弹窗(alert) 的形式输出 同时 F12 进行前端查看 发现 在提交按钮处有 <button id="go" onclick="XMLFunction()">GO!</button> 说明我们的 数据传输方式为 xml 当然,我们也可以直接 在burp suite 进行抓包查看 我们看到了 xml 文档声明: <?xml version="1.0" encoding="UTF-8"?> 所以,可能存在 xx
chipeasy 1.4.7
01-14
chipeasy 1.4.7是一款易于使用的芯片设计软件。它提供了一系列功能,使芯片设计变得更加简单和高效。 首先,chipeasy 1.4.7拥有直观的用户界面,使用户可以轻松地进行芯片设计。无论是初学者还是经验丰富的设计师,都可以快速上手。它提供了丰富的工具和选项,方便用户进行原理图设计、芯片布局和电路仿真等操作。 此外,chipeasy 1.4.7还支持多种芯片设计语言,如Verilog和VHDL,使用户可以选择适合自己的设计语言。用户可以通过自定义的代码库和模块,快速构建复杂的芯片设计,并进行逻辑仿真和时序分析。 chipeasy 1.4.7还提供了强大的设计验证功能。它可以检测和解决潜在的设计问题,减少后续设计阶段的错误和修改。用户可以使用内置的验证工具,进行功能验证、时序验证和功耗分析等,确保设计的准确性和可靠性。 最后,chipeasy 1.4.7支持与主流EDA工具的集成,如Cadence和Mentor Graphics等。这使得用户可以方便地与其他设计团队和合作伙伴进行协作,提高设计效率和质量。 总而言之,chipeasy 1.4.7是一款功能强大、易于使用的芯片设计软件。无论是新手还是专业设计师,都可以通过它实现高效、准确的芯片设计。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值