Jarvis OJ-Localhost

最新推荐文章于 2021-09-10 16:21:33 发布
最新推荐文章于 2021-09-10 16:21:33 发布
阅读量589 收藏 1
点赞数
分类专栏: CTF之Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wyj_1216/article/details/82926934
版权

Localhost

时间:2018年10月2日 汇报人:王祎洁

题目

http://web.jarvisoj.com:32774/
在这里插入图片描述

题解

进入网址,发现提示”只有访问IP是127.0.0.1才可以获得结果“,但实际上是无法实现的,此时采取伪造IP的方式去进行。通过Burpsuit,添加X-FORWARDER-FOR:127.0.0.1获得运行结果。
在这里插入图片描述

  • 在这里拓展一个知识点:

    • 服务器端判断访问IP的方式是通过检测header中X-FORWARDER-FOR的值进行的,且认为这个字段值就是访问的IP。像此题中,我们通过添加X-FORWARDER-FOR:127.0.0.1来伪造了我们的访问IP得到flag。

    • 在这里链接一个网站,关于服务端获取客户IP的几种方式:

      https://www.jianshu.com/p/bf57259d6895

白衣w
关注
专栏目录
Jarvis OJ web(一)
Lemon's blog
10-04 992
前言:总结一下最近做过的jarvisoj的web题,有的很有意思,能学习到很多新知识 LOCALHOST 提示很明显,伪造IP地址即可 抓包进行伪造,即可得出flag Login 一个提交页面,源码中也没有发现什么线索,抓包来看一下 有一句提示 "select * from `admin` where password='".md5($pass,true)."'" 这里就涉及到MD5函数...
jarvisoj-web-wp
Iambangbang的博客
08-21 3585
Port51 这是一道pctf的原题,,显然要用公网ip端口进行访问,这时候用到了curl命令,使用curl –local-port http://web.jarvisoj.com:32770/就可以得到flag,但是貌似服务器出了点儿问题,所以不弹flag了 LOCALHOST ,这个题目和上面一道题目差不多,都很基础,用火狐的代理,直接就可以了, Login ,一开始进去没什么思
Jarivas OJ LOCALHOST
沐目的博客
04-18 168
Jarivas OJ LOCALHOST (http://web.jarvisoj.com:32774/)题目连接 这题需要知道两个知识点:(一)X-Forwarded-For.如果想理解的清楚一些,可以自行百度,我就简单书一下自己的理解,肯定不太对,但是好理解一些。它是在HTTP请求中的一个参数,它可以传递我们电脑的IP地址,因此服务器可以通过它来得知我们的IP。(二)127.0.0.1表示的是...
jarvisoj web-PORT51 and LOCALHOST
weixin_46578840的博客
09-10 112
PORT51 访问题目看到提示,请从51端口访问这里,该题目端口已经定了,那只能更改自己的了 用curl更改访问端口即可得到flag sudo curl --local-port 51 http://题目地址/ LOCALHOST 抓包在头部 添加X-Forwarded-for:127.0.0.1 即可 ...
JarvisOjWeb
paintShadow的博客
08-26 295
一、localhost 打开链接只有一句话“localhost access only!!”,只允许本地访问,F12打开控制台,编辑和重发消息头加上X-Forwarded-For:127.0.0.1 拿到flag:PCTF{X_F0rw4rd_F0R_is_not_s3cuRe} ==========================================================...
jarvisoj WEB +MISC writeup
Ni9htMar3的博客
12-26 7296
WEB PORT 51 Login LOCALHOST 神盾局的秘密 IN a mess Easy Gallery Simple Injection 方法一 方法二 api的调用 PHPINFO
JarvisOJ:实战渗透挑战与信息获取技术
"JarvisOJ 是一个综合性的在线编程竞赛平台,提供了多种挑战环节以测试参赛者的技能。本文将介绍几个关键知识点: 1. JarvisOJ-WEB 部分:该部分强调了平台的安全性,特别是对访问控制的设置。题目要求使用特定端口...
BUUCTF jarvisoj_guess
BengDouLove的博客
04-22 337
博文1 博文2 首先这是我看的两个wp,第一个博主讲的很多 main函数里面对我来说有一些难点,就是socket编程,正在学计网,到学期后半段可能会有写socket编程的作业,先了解一下 SOCKET 看到这里就能看出,程序里面也用到了其中一个结构 sockaddr_in 这个结构就是保存socket的信息的 这是地址族,看不太懂,可能和这道题没太大关系,堆在这用到的时候看一下...
JarvisOJ Web&Reverse&Pwn
热门推荐
4ct10n
11-16 5万+
Web 0x01 phpinfo 0x02 WEB 0x03 Easy Gallery 0x04 Login 0x05 PORT51 0x06 LOCALHOST 0x07 神盾局的秘密 0x08 IN A Mess 0x09 api调用 0x0a Simple Injection 0x0b 图片上传漏洞 0x0c chopper 0x0b flag在管理员手里 Reverse 0x01FindK
PHPINFO(jarvisoj)
Mikasa
04-19 858
今天做题的时候做了这一道。。刷新了对反序列化的认识。。 这道题考察了关于session序列化选择器的漏洞。。 参考文章:https://www.jb51.net/article/107101.htm 首先先介绍一下,关于session反序列化的三种机制: 首先在php.ini中关于session的设置: session.save_path="" #设置session的储存路径 sess...
jarvis oj web题
weixin_44843084的博客
05-23 370
jarvis oj web题 flag在管理员手里 role=s:5:“guest”; hsh可能是role的md5加密,但是不是直接加密 index.php~有源码,改为.index.php.swp,输入命令vi -r index.php恢复index.php文件 有段 $role = unserialize($_COOKIE["role"]); if ($role==="admin" && $hsh === md5($salt.strrev($_COOKIE["role"]))) s
jarvis oj Web By Assassin
Assassin
08-22 8698
LOCALHOST套路题,构造headers中加上x-forwarded-for=127.0.0.1即可 PCTF{X_F0rw4rd_F0R_is_not_s3cuRe}PORT51访问了页面发现让你Please use port 51 to visit this site.明显是绑定的端口,不可能用51端口去访问啊,很困惑结果是自己去访问的时候需要用到51端口啊…原来如此,使用curl中的–l
Jarvis-OJ WEB 多题writeup
烟敛寒林的博客
04-19 4371
PORT51(curl) LOCALHOST(伪造ip) Login(SQL注入) 神盾局的秘密(base64编码+反序列化) IN A Mess(代码审计+过滤空格SQL注入) admin(robots.txt+cookie欺骗) [61dctf]babyphp(Git泄露+代码注入) Easy Gallery(文件上传、%00截断) Simple Injection(过滤空格S...
Jarvis OJ web WriteUp
heySister
02-08 3745
我要开始做Jarvis OJ上的题目啦!!!之前bugku上还剩下的几道题,之后也会再补上的,做出来之后,就会把思路写到博客里的。新手,有错的地方多多指教。(不是按顺序写的…我就先挑简单的做啦~~~) PORT 51 这个题目用到了curl命令,是利用URL语法在命令行方式下工作的开源为念传输工具….之前没接触过这个命令…我在我的ubuntu虚拟机下运行curl --help ,可以看到如下...
Jarvis-OJ-Web writeup
a370793934的专栏
11-28 1134
PORT51 访问了页面发现让你 Please use port 51 to visit this site. 明显是绑定的端口,不可能用51端口去访问啊,很困惑结果是自己去访问的时候需要用到51端口啊…原来如此,使用curl中的–local-port命令 --local-port <端口号>[-num]设置连接使用的首选端口号或本地端口范围。请注意,端口号是一种稀缺资源,繁忙...
Jarvis OJ -WEB-WRITE-UP(一)
郁离歌丶的博客
04-27 1689
Jarvis OJ -WEB-WRITE-UP(一) PORT51  题目链接: http://web.jarvisoj.com:32770/ 访问页面之后,页面显示:Please use port 51 to visit this site.当时看到了这个还以为是需要访问这个网站的51端口,但是这个网址已经确定了是访问32770端口,后来一直都没有思路。最后才发现是要求本地以51端口去访问这个网...
Web初探索(三)
weixin_44163738的博客
05-16 528
Web学习——任务三复述本周任务学习windows和Linux命令完成dvwa的第二个模块command execution(命令注入)学习php(重点关注数据类型和php弱类型)巩固练习攻防世界web新手练习Jarvis OJ web练习 复述本周任务 时间:2020.5.11——2020.5.16 内容: 学习windows和Linux命令; 完成dvwa的第二个模块command execution(命令注入); 继续学习php(重点关注数据类型和php弱类型); 巩固练习:完成攻防世界web新
JarvisOJ平台Web题部分writeup
weixin_30614109的博客
11-28 232
PORT51 题目链接:http://web.jarvisoj.com:32770/ 这道题本来以为是访问服务器的51号端口,但是想想又不太对,应该是本地的51号端口访问服务器 想着用linux下的curl命令指定本地端口 curl --local-port 51 http://web.jarvisoj.com:32770/ 测试过程中在虚拟机没成功,于是在windows下用本地端口...
【计算几何初步-凸包-Jarvis步进法。】【HDU1392】Surround the Trees
weixin_34190136的博客
11-27 213
【科普】什么是BestCoder?如何参加? Surround the Trees Time Limit: 2000/1000 MS (Java/Others)Memory Limit: 65536/32768 K (Java/Others) Total Submission(s): 8113Accepted Submiss...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值