【CTF WEB基础】本地管理员 Bugku CTF

已于 2024-08-03 21:33:17 修改
阅读量706 收藏 11
点赞数 8
分类专栏: CTF 文章标签: 网络 网络安全 web安全 笔记 php javascript
于 2024-08-03 21:32:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yu_fly_fish/article/details/140896528
版权

题解

1.打开网址,发现有一长串的字符串,直接看源码

(!!!一定要打开换行,不然还是会保持一串)

2.发现最后有一串小绿码,考虑到可能是base64编码(busi,为什么是base64o(╥﹏╥)o)

3.解码之后发现是test123,结合网页,猜测可能是账号或者密码

用test123登录

4.发现提示IP禁止访问,要本地ip

因此要xxf修改请求包改成本地ip(XXF伪造IP,即利用X-Forwarded-For(XFF),具体见下文)

还是用burpsuite拦截,发送到repeater

5.用XXF伪造本地ip

随便加在某两行的中间就可以了(这里是因为方便观看)

X-Forwarded-For: 127.0.0.1

6.再次发送

发现好像和第一次并没有什么不同,哎!这就不得不提POST发送方式了(可见【CTF WEB基础】POST-Bugku CTF题解及知识点-CSDN博客

因为POST发送要Content-Type: application/x-www-form-urlencoded 和 Content-length:xx

而我们并没有添加,所以可以手动添加(busi),可添加后再发送

but!可以change request method先改成GET发送方式,然后再点一次改回POST发送,burp会自然为我们加上。

乐!

第一次

第二次,可见已经加上了

再次发送

7.可见多了这一行

(我看不懂)

(其实这个单词有用户名的意思,体现了英语的重要性)

所以可以根据本地管理员的默认账号admin可以尝试

(busi,我想这里应该用字典爆破,但是尝试admin的时候直接出来了)

提交就好了

知识点:

1.Base64编码

 目前的想法:有绿色提示码可以试试base64编码

()

2.XXF仿造本地ip

加一行这个

X-Forwarded-For: 127.0.0.1

3.POST发送请求头

记得补上Content-type:和Content-length:

(也可两次Change method自动得到)

FLYFISH567
关注
专栏目录
Bugku--CTF-- 1、本地管理员 2、网站被黑
记录笔记
07-07 1312
Bugku--CTF--1、本地管理员 2、网站被黑
BugkuCTF-WEB题本地管理员
am_03的博客
08-25 1855
基础知识: base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一类基于64个可打印字符来表示二进制数据的方法。 XFF伪造请求头: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原本的IP地址的HTTP请求头字段。 简单来说,XXF是告诉服务器当前请求者的最后ip的http请求头字段,通常可以直接通过修改http头里的X-Forwarded-For字段来仿造请求的最后ip。 打开场景: 为一个登录界面 尝试输
Bugku---本地管理员
2201_75556700的博客
03-07 976
【代码】Bugku---本地管理员
Bugku CTF-web12本地管理员
weixin_44023403的博客
04-25 1702
Bugku CTF-web12本地管理员知识积累解题 知识积累 base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法。 XFF伪造请求头: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 简单来说,XXF是告诉服务器当前请求者的最终ip的http请求头字段,通常可以直接通过修改http头中的X-Forwarded-For字段来仿
CTF学习第十八站——BugKu的本地管理员
qq_41174589的博客
10-14 237
通过反馈得知此题考查XFF伪造,用burp抓包,新增X-Forwarded-For:127.0.0.1,将Origin和Referer后的参数修改为127.0.0.1,得到flag。先查看页面源代码,在一堆n后面找到一个奇怪的注释,看到两个等号,base64解码后得到text123。
CTF之本地管理员
最新发布
qq_74263993的博客
04-25 346
盲猜一波账号admin,使用密码test123得到flag{3da7e7d140f5c345b2a314e9e82cb2c9}这里我们在提交的数据请求包里加一个x-forwarded-for: 127.0.0.1,伪造IP进行访问,发现提示变了。拿到题目随便登录一下发现提示IP禁止访问,请联系本地管理员登陆,IP已被记录.我们再看网页源码,发现了base64编码,解码得到test123。所以我们使用伪造数据包来源 IP。
BugkuCTF-WEB题需要管理员
am_03的博客
08-29 742
提示:好像需要管理员 御剑扫描一下后台,发现robots.txt,访问 提示/resusl.php,继续访问,发现要传入一个参数x,并且x的值是要等于password,采用burp爆破 得到密码是admin,其实题目好像需要管理员,这里就可以猜到x=admin ...
本地管理员(BUGKU)
赶不上早饭的博客
10-08 514
本地管理员 正文 打开链接查看源码发现一串base64编码 对其进行base64解码得到test123,应该是密码。尝试用admin/登陆,提示IP禁止访问 题目是本地管理员,看题解后才知道要联系到本地管理员登陆,burp抓包伪造XFF头 然后发送即可得到flag ...
bugku 本地管理员
m0_62709637的博客
07-04 508
bugku 本地管理员
BugKuCTF WEB
让我再浪一会 的博客
11-24 900
文章目录BugKuCTF WEB一、web2二、计算器三、web基础$_GET四、web基础$_POST五、矛盾六、web3七、域名解析八、你必须让他停下九、变量1十、web5十一、头等舱十二、网站被黑十三、管理员系统十四、web4十五、flag在index里十六、输入密码查看flag BugKuCTF WEB 平台地址 一、web2 进入网页,查看源代码,在其中找到flag 二、计算器 进入网页,根据题目可得知需要输入运算结果,但限制了输入的数字的个数,查看网页的JS代码,将 maxlength =
ctf web培训资料pdf
10-06
通过url访问靶机web站点,观察页面中的功能点,对可能存在漏洞的页面进行探测。 常见的漏洞特征: SQL注入:www.example.com?id=1 文件包含:www.example.com?page=file1.php 文件上传
CTF Web学习笔记
01-11
### CTF Web学习笔记知识点详解 #### 杂项部分 **1. 隐写术** 隐写术是一种将信息隐藏于其他非秘密数据之中的技术,这种技术通常用于隐蔽通信或数据保护。在CTF竞赛中,经常出现的情况是将flag隐藏在图像、音频...
bugku-本地管理员
2202_75317918的博客
03-02 422
bugku 本地管理员
BugKu_本地管理员
Kobalos的博客
07-28 952
访问目标地址,可以看到是一个管理员登陆页面 f12查看源码,发现一段base64加密的字符串 解码结果为test123,因为是管理员系统,所以暂时猜测账号密码为,admin/test123 尝试登录发现失败了,显示ip禁止访问 联想到题目是本地管理员,所以尝试XFF-IP伪造 点击发包,成功在返回包中发现flag 注: ...
BugKu-----本地管理员
qq_45616570的博客
06-24 1052
title: BugKu-----本地管理员 date: 2021-06-24 19:48:44 description: 前言:零度安全搭建博客后的第N篇文章 top: categories: BugKu刷题 tags: 网络安全 BugKu BugKu-----本地管理员 题目 解题思路 本地管理员可以联想到的是ip的问题,又是xxf 解题过程 先尝试用admin/admin进行登录,发现ip被记录。需要本地管理员 使用插件X-Forword将ip修改为127.0.0.1 源码里看到的b.
Bugku之本地管理员
金 帛的博客
03-16 3254
BugkuWP
Bugku web12 本地管理员
weixin_44522540的博客
02-22 1452
八、web12 本地管理员 打开发现有一串nnn,看下源码 发现一串被注释掉的字符串,猜测base64编码,解码后是test123,应该是密码。尝试用admin/test123登陆,IP被禁了 应该就不是爆用户名和密码的问题了 又题目描述本地管理员,联系本地管理员登陆,burp抓包伪造XFF头 go一下就得到flag啦 ...
2021 BugKu CTF AWD排位赛真题解析
BugKu 2021 CTF AWD排位赛真题涵盖了信息安全领域中一项重要的技能竞技——Capture The Flag(CTF)的高级竞赛部分,即AWD(Attack With Defense,攻防对抗)模式。该模式特别强调攻防兼备的技能,要求参赛者在进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值