安恒月赛-2019年6月-web

最新推荐文章于 2024-08-03 21:32:11 发布
最新推荐文章于 2024-08-03 21:32:11 发布
阅读量3.4k 收藏 10
点赞数 3
分类专栏: CTF之Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wyj_1216/article/details/94433864
版权

localview

题目

有个傲娇的管理员,只能从本地才能看到想要的~答案提交flag{}括号内的值。

[外链图片转存失败(img-TogADMBO-1562035282293)(E:\CTF\比赛\安恒月赛\6月赛\web\Pictrues\1.ti.PNG)]

writeup

根据题目提示

有两个注意点:

1、管理员

2、从本地

据此,我一开始进入了一条死路,直接在index.php的基础上,抓包,然后xff,实现欺骗,没有达到预期发现,于是考虑到管理员这一提示

正确解题过程:

首先先扫一下:

[外链图片转存失败(img-GX9BRz2x-1562035282295)(E:\CTF\比赛\安恒月赛\6月赛\web\Pictrues\1.1.PNG)]

发现admin.php可访问,

于是访问后,发现:

[外链图片转存失败(img-BpSimXz4-1562035282296)(E:\CTF\比赛\安恒月赛\6月赛\web\Pictrues\1.2.PNG)]

查看页面源代码:

[外链图片转存失败(img-07T35Qg5-1562035282298)(E:\CTF\比赛\安恒月赛\6月赛\web\Pictrues\1.3.PNG)]

于是,抓包:

[外链图片转存失败(img-34I2vx8F-1562035282300)(E:\CTF\比赛\安恒月赛\6月赛\web\Pictrues\1.4.PNG)]

修改,得到flag:

Host: localhost
X-Forwarded-For: 127.0.0.1

外链图片转存失败(img-UXZIKumy-1562035282300)(E:\CTF\比赛\安恒月赛\6月赛\web\Pictrues\1.flag.PNG)]@[TOC

白衣w
关注
专栏目录
【愚公系列】202306 网络安全高级班 095.CTF黑客比赛(CTF入门简介)
时光隧道
06-05 4790
中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行攻防竞技的一种比赛形式。2019国产电视剧《亲爱的,热爱的》,首次将CTF赛事搬进荧幕,通过李现扮演的“韩商言”,让网络安全攻防技术正式进入大众视野。CTF起源于1996DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5677
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
1.只有本地管理员才能访问本页面2.notes Happy Why am lfeeling so happy today? Well ljust got to spend threedays with
记录笔记
04-12 2712
只有本地管理员才能访问本页面 F12 看看源码 没啥东西 御剑看看后台 也没看出来有啥 看了下 需要管理员权限 在headers里面设置 添加一行 X-Forwarded-For127.0.0.1 flag{sgwxsSesSD232se14sdSVSsx} notes Happy Why am lfeeling so happy today? Well ljust got to spend threedays with some of my very best friends having fun t
安恒杯赛题目参赛源码+项目说明.zip
01-23
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。 3、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。 安恒杯赛题目参赛源码+项目说明.zip
本地查看 这是个傲娇管理员只能从本地才能看到想要
TID12的博客
12-19 557
而本题的名字叫做本地查看所以猜测是要修改host和X-Forwarded-For为本地的ip地址从而得到flag。利用awvs扫描之后发现存在敏感目录。原本没有XFF的自己添加一个XFF。这题一进来就只有一张图片。进入查看发现没有限权。
ctf web本地管理员
god_001的博客
03-05 1677
启动场景,发现是一个登陆网页: 查看网页源代码, 发现最下一行疑似使用了base64加密 解密后果然,得到一串字符:test123 测试管理员账户为admin,密码为test123,得到 再联系题目,可知需要使用本地IP登录, 使用bp抓包,send to repeater,头部添加 X-Forwarded-For:127.0.0.1 发送请求得到结果: X-Forwarded-For X-Forwarded-For 是一个 HTTP 扩展头部,用来表示HTTP请求端的真.
第03章 用户和权限管理【1.MySQL架构篇】【MySQL高级】
小心星的博客
07-30 825
第03章 用户和权限管理【1.MySQL架构篇】【MySQL高级】
安恒DASCTF六团队挑战赛 Keyboard
Bok_choy的博客
07-14 1142
文件解压后得到这两个文件,raw文件是镜像文件,根据之前做题的经验,secret是内存取证 于是放进虚拟机使用volatility提取文件: 查看镜像版本 直接定向检索txt文件 将其dump下来 此时文件夹中多了一个以dat为后缀的文件 然后用strings查看内容: 显然我们得到了ctf关键信息 解密方式按照键盘字母解密 且提示密码是大写,解密得到 VERACRYPTPASSWORDISKEYBOARDDRAOBYEK 参考文献:https://ct...
安恒月赛-201812
wyj_1216 House
12-23 1186
签到题 没啥好说的,什么牛不能跑?蜗牛 ezweb2 题目: http://101.71.29.5:10000/index.php 解题思路: 拿到题目后,扫了一波: python3 dirsearch.py -u http://101.71.29.5:10000 -e php 发现:admin.php 进入查看,显示无法进入 查看页面信息,发现user登录信息,在存储值可更改。 将其先进行...
【CTF】SZTU课内练习WP1
2301_76885465的博客
12-11 1409
2.使用“python sqlmap.py -r “1.txt” --level 3 --batch”进行探测注入,然后使用“python sqlmap.py -r “1.txt” --level 3 --batch --dbs”获取数据库,然后依次获取表,字段,字段的内容,最后得到flag.2.进行抓包,将Get请求改为Post请求,并按要求将flag=输到8位数以上,得到。1.登录demo账户,发现有flag,点击发现没有权限查看,因此考虑越权访问。1.对IP进行扫描,发现/backend。
S3cCTF-gyy-Writeup
Err0r_CM的博客
01-08 2298
S3cCTF-gyy-Writeup 出题人:gyy 写在前面: 本次招新赛我主要负责WEB方面的出题,当然兼顾一些MISC,本着简单易懂的原则,刚开始出了很多简单WEB题,但是这届新生的实力明显比我们当时强= =,后期又赶了一些提升题,当然和真正的CTF比赛还是有非常大的距离,例如在群里放出的周六的题目可以看出。所以,这些只是入门CTF的基础,去的这时,我们参加的招新比赛比今更加困难(所以今我有同感地出了不少简单题),我希望大家不要止步于此,当初我也有一腔热血,觉得CTF不过如此(甚至还想双休)。但
Bugku--CTF-- 1、本地管理员 2、网站被黑
记录笔记
07-07 1357
Bugku--CTF--1、本地管理员 2、网站被黑
20200310-天风证券-安恒信息-688023-新安全领军企业,收入有望持续高增长.pdf
06-19
1. 财务数据显示安恒信息在2017至2019的营业收入和净利润增长情况,以及对应的EBITDA、EPS、市盈率、市净率、市销率和EV/EBITDA等估值指标。 2. 提供了财务数据的历史对比以及对未来三的预测,以供投资者参考。 ...
2019世界互联网大会 聚焦网络安全发展新动能新要求 最新等保测评机构名录发布10
willingpoint的博客
10-23 4387
立足互联网诞生50周、中国全功能接入互联网25周的重要节点,以“智能互联开放合作——携手共建网络空间命运共同体”为主题的第六届世界互联网大会于20191020日至22日在浙江乌镇隆重召开。 今大会论坛的内容更加丰富,聚焦“科学与技术”“产业与经济”“人文与社会”“合作与治理”四大重点板块,共设置了20个分论坛,邀请各界嘉宾展开思想碰撞,汇聚全球智慧,既涵盖人工智能、5G、开源芯片等科技热...
2019度优秀安全内容合集
anquanzushiye的博客
01-06 3万+
2019信息源与信息类型占比微信公众号推荐昵称_英语weixin_no标题网址安全祖师爷PowerShell渗透–帝国https://mp.weixin.qq.com/s/giBR-rn...
【CTF WEB基础】本地管理员 Bugku CTF
最新发布
yu_fly_fish的博客
08-03 840
一起变强!
宁波市第三届网络安全大赛(NSCTF)WP
zhwho的博客
07-12 2518
** 写在开头 从简书回来了,入坑简书半,由于个人原因,简书账号注销了,以后就在CSDN上写啦 hhhh ** 前段时间和室友一起参加了这次NSCTF,做的题比较杂,WEB、MISC、密码,想着这几天会开环境给复现,现在看好像不给开环境,有的题保存下来了,这里先写写思路,有些截图没保存,以后有机会一定补上。 WEB 签到——本地访问 打开环境,印象里是有一句话: 只有本地管理员才能访问,你想越权访问吗? 这就很明显了,当然想越权访问,不然怎么拿flag?而拿flag的条件很明显有两个——1.本地 2.管理
CTF每日一题 | Web 后台
qq_42646885的博客
07-11 1371
打开网页如下:简单的字母提示和一个按钮。 点击按钮,页面出现提示:Only Member with Admin rights is allow to enter。意思是只能管理员身份进入网站后台。 用brupsuit抓包,看看数据包的发送情况: 返回的数据包中设置了cookie的值,Member的值经过了base64加密。在burpsuite的decoder模块解码——>...
首届广西网络安全技术大赛初赛通关攻略
热门推荐
weizehua的专栏
11-16 4万+
首届广西网络安全技术大赛初赛通关攻略前言第一次参加安全类比赛(好吧,其实我这种宅男参加的比赛都很少,很多种比赛都是第一次 - -),同组的组员建议我在比赛完写个通关攻略出来。听起来不错,写个通关攻略,顺便装装逼,真不错。 初赛分为5类题目,分别是:密码学、安全杂项、WEB、溢出类、逆向破解。题目总的来说,简单到离谱(至少解出来的所有题目都是特别简单的)。大概因为是第一届,环境没配好,有些题目解法有
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值