bugku 管理员系统

最新推荐文章于 2023-08-09 20:16:13 发布
最新推荐文章于 2023-08-09 20:16:13 发布
阅读量322 收藏 1
点赞数
分类专栏: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyl_wjl_1413/article/details/83868793
版权

查看源代码

发现注释<-- dGVzdDEyMw== --> ,base64解码得到test123 , 猜这个是密码

尝试输入

结果得到“IP禁止访问,请联系本地管理员登陆,IP已被记录. ”。根据这个提示,利用X-Forwarded-For来伪造成本地IP。
方法:
1、打开burpsuite,截取登录信息,添加伪造的请求头,此时再随意输入用户名、密码时,提示Invalid credentials! Please try again!很明显只差找到正确的用户名了
2、再利用Intruder爆破即可。

新姿势:伪造请求头

X-Forwarded-For:
简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP。
请求头格式:X-Forwarded-For:client, proxy1, proxy2 client 即客户端真实ip,后两项是代理ip,可缺省,最终在服务端接收前都会被补齐。

#Super Pig
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugkuctf解题-杂项
05-04
bugku writeup,杂项解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
bugku杂项题writeup
11-22
bugku杂项题writeup
BUGKU 管理员系统
HHHanks的博客
02-13 248
BUGKU 管理员系统 0x00 http://123.206.31.85:1003/打开网站 看到 一般管理员系统账号是admin 0x01 查看源代码 在元素那发现有一串疑似base64编码的注释 解码得test123 猜测是密码 0x02 那么现在账号:admin 密码:test123 登录发现 0x03 查阅资料得知 需要伪装本地IP X-Forwarded-For: ...
bugku 本地管理员
m0_62709637的博客
07-04 481
bugku 本地管理员
bugku 管理员系统与 X-Forwarded-For
孤的博客
09-12 2891
管理员系统60   http://123.206.31.85:1003/ 答案: The flag is: 85ff2ee4171396724bae20c0bd851f6b 查看网页源代码 在网页源代码中除最后一行注释代码外,没有什么其它值得特别注意的代码 dGVzdDEyMw== 很明显是Base64编码格式,解码: test123 登录 根据返回提示可以看出 肯定...
bugku——管理员系统
吃肉唐僧的博客
09-01 902
打开题目,盲猜 提示“IP禁止访问,请联系本地管理员登陆,IP已被记录.” 打开源码,发现base64的字符串 解码 猜测名字为admin,pass为test123 还是失败,同样提示ip被禁 看到本地管理员,想到用X-Forwarded-For: 127.0.0.1伪造本地ip 拿到flag ...
BUGKU------管理员系统
Y4tacker的博客
07-27 7294
首先通过Burp抓包看到一句话,IP禁止访问,我第一个想到的就是xff 看吧没有了,但是密码却不正确 我们通过在下面发现个base64编码解得test123 还是不对,那么我们可能是XFF头搞错了 改成本地端口,完美绕过 ...
bugkuctf解题-WEB
05-04
防止命令注入应避免直接将用户输入传递给系统命令,而是使用安全的API或库来处理。 在解题过程中,我们还需要掌握一些工具和技巧,例如使用Burp Suite进行代理抓包分析,使用Wireshark捕获网络流量,利用OWASP ZAP...
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
bugKu管理员系统
YenKoc的博客
10-20 409
先F12看看,有啥发现的,发现一段注释。。。 感谢那个群友分享了怎么辨别base64编码,通常是A-Z,a-z,0-9,+,/,=。最后通常有0个到2个等号,我也成功用在线解码器,确实是base64编码,解出test123,所以密码出来,那用户名,先用admin,试试看, 有个本地,暗示着我们要把ip伪装成本地,这时候要在请求头上加入X-Forwarded-For=127.0.0.1 用bp...
Bugku 本地管理员
qq_63575829的博客
12-10 217
在其中任意一行加入xff 这里加在HOST下 放包。尝试作为密码输入(一样的改xff)这题需要用到bp伪造xff的知识。(即修改xff头伪造访问的IP)放包出错 大概是账号密码的原因。随便输入内容提示IP禁止访问。
个人笔记——bugku管理员系统
m0_61100491的博客
08-09 164
试过test123后又得到这个页面(刚开始是没有“IP禁止访问.....IP已被记录”的,这是个提示)试了多次后,鬼使神差的重新刷新了下页面,点了下submit,然后bp出现了不一样的参数。不过我猜测,可能是由于在bp第一次获取的时候,一些参数没有构造。我以为是我的XFF构造问题,所以就又重新试了几次,还是无果。查了之后才知道这是只能管理员的ip能登录,其他的都不行。因为之前一直在试参数,所以一下就发现了有个参数不一样。因为在出结果后我就直接关页面了,忘了多试几次了。然后,发送,出结果了。
Bugku之本地管理员
金 帛的博客
03-16 3088
BugkuWP
BugKu 管理员登录
qq_39585393的博客
10-16 250
接下来就是伪造个本地IP,查阅后使用burpsuit的repeater伪造。这里用到了X-Forwarded-For,简单来说这个本来是用于确定客户端的真实地址的,但是可以伪造然后相当于把消息地址修改了。
bugku-本地管理员
qq_38634097的博客
04-23 306
- dGVzdDEyMw== --> ,有因为字符串以=结尾,判断是base64编码,利用在线解码工具得到值为test123.但是不确定该值是账号还是密码,管理员账号一般为admin,暂且猜测test123为密码,在登陆框输入admin/test123.还是提示IP已被记录。打开场景是登录框,尝试弱口令登录,这里我使用的弱口令有:admin/123456、admin/888888、admin/admin、admin/admin23等。根据提示,可以想到更换IP,于是利用HTTP协议的xff跟换IP。
bugku- 本地管理员
m0_62094846的博客
10-24 233
需要输入username和password,查看源代码 有这样一串特殊符号,看着应该是base64加密过的,解密得到test123 Username猜测是admin,密码是test123 如果账号密码是正确的,问题应该就是“管理员系统”了,可以尝试改变IP地址 用burp添加xff就可以得到flag了 ...
bugku管理员系统(小宇特详解)
小宇的web博客
06-19 471
bugku管理员系统 1.打开这个题后,ip被禁止访问,需要管理员权限,这里先查看源代码 发现这里有一串代码,使用base64来进行解码 2.这个应该就是password,知道密码后,账号是admin,进行抓包,来修改管理员权限 这里将抓到的包发到重发器中在headers添加X-Forwarded-For :127.0.0.1 重发后会发现找到了flag ...
bugku sodirty
最新发布
09-03
Bugku sodirty是一个题目,具体的解题过程可以在记录解题过程的介绍中找到。[1] 该题目可能涉及到PHP代码审计、MD5碰撞、比较绕过等内容。而在解题过程中,可能还会用到一些其他的题目和技术,如pwn3、pwn5、短标签...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值