【Bugku web】本地管理员

最新推荐文章于 2024-12-08 19:57:16 发布

Dddddddddddd.

最新推荐文章于 2024-12-08 19:57:16 发布

阅读量199

点赞数

文章标签： unctf

本文链接：https://blog.youkuaiyun.com/DdddddXxxxx/article/details/118800989

版权

该博客讲述了如何通过设置X-Forwarded-ForHeader伪装IP，以及利用解码后的线索（base64解码test123）成功登录网站。博客揭示了网络安全中的常见漏洞，展示了使用admin作为用户名和test123作为密码登录并获取flag的过程。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

打开网址后尝试登录

需要伪造ip

打开插件X-Forwarded-For Header IP设置为127.0.0.1

查看网页源代码发现线索 baes64解码test123

尝试用户名为admin 密码 test123 后成功登录

得到flag

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Dddddddddddd.

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

IP欺骗(XFF头等)

Sea_Sand息禅

11-16

9049

很多时候需要伪造一些http头来绕过WAF 1.X-Forwarded-For: 简称XFF头，它代表客户端，也就是HTTP的请求端真实的IP，只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息，在squid缓存代理服务器开发文档中可以找到该项的详细介绍。标准格式如下：X-Forwarded-For: client1, proxy1, proxy2。...

BugkuCTF-WEB题本地管理员

am_03的博客

08-25

2001

基础知识： base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一，Base64就是一类基于64个可打印字符来表示二进制数据的方法。 XFF伪造请求头: X-Forwarded-For（XFF）是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原本的IP地址的HTTP请求头字段。简单来说，XXF是告诉服务器当前请求者的最后ip的http请求头字段，通常可以直接通过修改http头里的X-Forwarded-For字段来仿造请求的最后ip。打开场景：为一个登录界面尝试输

参与评论您还未登录，请先登录后发表或查看评论

Bugku-web-本地管理员

qq_68457525的博客

06-26

638

ctf练习之修改文件头实现本地登录

bugku(web)本地管理员

m0_62709637的博客

11-30

2836

进入场景发F12查看源代码发现提示：dGVzdDEyMw== 根据末尾的等号很容易联想到该密码是base64； base64在线解码得到：test123（这就是密码） Username为admin（从大佬博客里嫖（貌似是因为管理员系统为提示）的不大理解为什么，希望各位小伙伴不吝赐教）将密码和用户名输入后点击submit显示无法登录，之后用bp抓包在proxy界面==》右键send to repeatr（快捷键ctrl+r）==》在row下添加X-Forworded-For:1...

Bugku web12 本地管理员

weixin_44522540的博客

02-22

1492

八、web12 本地管理员 打开发现有一串nnn，看下源码发现一串被注释掉的字符串，猜测base64编码，解码后是test123，应该是密码。尝试用admin/test123登陆，IP被禁了应该就不是爆用户名和密码的问题了又题目描述本地管理员，联系本地管理员登陆，burp抓包伪造XFF头 go一下就得到flag啦 ...

bugkuCTF web

Tiny_Hacker的博客

12-08

796

这个是主要的操作步骤，对大部分常用的字符进行了过滤，如果没有绕过会回显一个forbid，绕过之后会进行下一步的比较，要求我们传入两个Post参数a和b;回显了上一级目录，并发现了flag，由于cat，tac被过滤，利用其他字符来代替，又发现more，less也被过滤了，再另寻其他字符。盲猜用户名是admin，经过测试后，发现是正确的，但直接输入却是错误的，再次通过伪造IP地址后得到了flag。当用户名为admin，密码为bugkuctf时，长度比其他的长，猜测是正确的内容，输入一下。

bugku-web12-本地管理员

weixin_50774579的博客

05-24

1556

1.查看源代码发现了线索，base64解码得到字符串‘test123' 2.管理员默认账号admin，密码test123，登录，提示IP禁止访问，请联系本地管理员登陆，IP已被记录. burp拦截，发到repeater，添加http头X-Forwarded-For: 127.0.0.1，即可也可以用hackbar直接在浏览器上完成，这个比较简单。要注意！X-Forwarded-For: 127.0.0.1（IP前面要有一个空格） base64解码+XFF伪造请求头知识点：以...

bugkuctf web随记wp

2301_76690905的博客

12-14

1130

上传一句话木马，抓包，改Content-Type:为image/jpeg，把filename="1.php"改成filename="1.php4"（php2,php3,php4,php5,php6,php7,phps,phpt,phtml,phtm,Php，php:.jpg）两种绕过方式：1.利用该函数的空截断漏洞，开头就是\x00,后面不管是什么都会匹配成功,后端得到的是\x00，这中间还有个解码过程，因此要对\x00进行url编码为%00，如果用这种方法b要在最后，不然过早把\x00放入会把a也截断。

Bugku--CTF-- 1、本地管理员 2、网站被黑

记录笔记

07-07

1460

Bugku--CTF--1、本地管理员 2、网站被黑

BugKuCTF WEB

让我再浪一会的博客

11-24

1003

文章目录BugKuCTF WEB一、web2二、计算器三、web基础$_GET四、web基础$_POST五、矛盾六、web3七、域名解析八、你必须让他停下九、变量1十、web5十一、头等舱十二、网站被黑十三、管理员系统十四、web4十五、flag在index里十六、输入密码查看flag BugKuCTF WEB 平台地址一、web2 进入网页，查看源代码，在其中找到flag 二、计算器进入网页，根据题目可得知需要输入运算结果，但限制了输入的数字的个数，查看网页的JS代码，将 maxlength =

BugKuCTF WEB 管理员系统

无限迭代中......

07-08

1340

http://123.206.31.85:1003/ 题解：工具： Burp Suite 开发者工具尝试版本一开发者工具 base64编码 dGVzdDEyMw== base64解码 test123 可能是密码抓包 send to Intrduer start attack send to Repeater...

BugkuCTF-WEB-管理员系统

Jaychouzzk

11-16

2356

打开题目随便输入了一下，发现IP禁止访问了，所以打算F12看看有啥猫腻 - - 这么长的滚动条，肯定有猫腻拖下去瞅瞅有啥提示点，发现一处提示的地方，得到一串base64加密解密得到test123,尝试一下user：admin，pass：text123，结果还是不行，仍然提示 “IP禁止访问，请联系本地管理员登陆，IP已被记录.” ...

BugkuCTF web12_本地管理员 writeup

Mitchell_Donovan的博客

12-21

1118

原题链接 key:base64解码+XFF伪造请求头 ①查看源代码发现了线索，拿去base64解码得到字符串‘test123' ②猜测用户名admin，密码test123，尝试登陆，发现登陆失败 ③题干反复强调”本地",可以想到用伪造XFF请求头来访问知识补充：伪造XFF头（IP欺骗） ④burpsuite抓包，送到repeater，然后在请求头部 Headers 添加 X-Forwarded-For:127.0.0.1，go一下即可得到flag ...

管理员界面html,12套超酷的后台管理员界面网站模板

weixin_30044149的博客

06-10

8467

这些超棒的网站模板可以直接应用到其它开源CMS (例如，wordpress，magento等等)，同时您可以很方便的自定义。虽然管理员界面使用的数量相对用户界面并不多，但是专业的管理员界面网站模板要求更好的使用性和用户体验，并不是简单的设计。今天这套分享的模板相信能够带给大家超棒的体验！这套网站模板使用Twitter Bootstrap开发。拥有9个不同的皮肤主题并且包含了常用的输入组件，例如，表...

Bugku CTF-web12本地管理员

weixin_44023403的博客

04-25

1818

Bugku CTF-web12本地管理员知识积累解题知识积累 base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一，Base64就是一种基于64个可打印字符来表示二进制数据的方法。 XFF伪造请求头: X-Forwarded-For（XFF）是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。简单来说，XXF是告诉服务器当前请求者的最终ip的http请求头字段，通常可以直接通过修改http头中的X-Forwarded-For字段来仿

第五讲电子商务安全.ppt

05-26

第五讲电子商务安全.ppt

运用Matlab的LBP算法实现面部表情识别与特征分割图像处理指南

05-26

内容概要：本文探讨了利用Matlab和LBP（局部二值模式）算法进行面部表情识别的技术。首先介绍了Matlab作为一种强大工具，在科学计算和图像处理领域的广泛应用背景。接着详细阐述了LBP算法的工作原理及其在图像分析中的优势，特别是对于描述图像局部纹理特征的能力。随后重点讲解了LBP算法在脸部特征分割中的具体步骤，包括图像预处理、特征提取以及最终的表情识别过程。通过对一系列实验数据的分析，证明了这种方法的有效性和准确性。适合人群：从事计算机视觉、图像处理相关工作的研究人员和技术爱好者。使用场景及目标：适用于需要对面部表情进行自动识别的应用场合，如安防监控、人机交互系统等。目标在于提供一种高效可靠的面部表情识别解决方案。其他说明：文中提到的LBP算法不仅能够很好地捕捉到人脸的关键部位特征，而且还能有效地减少噪声干扰，提高了识别率。此外，作者还展望了未来可能的研究方向，比如优化现有算法以提升性能表现。

MATLAB微网优化调度：两阶段鲁棒CCG算法经济调度的详细研究说明

最新发布

05-26

内容概要：本文深入探讨了基于MATLAB的微网优化调度，特别是采用两阶段鲁棒优化模型和CCG算法来实现经济调度。通过构建min-max-min结构的两阶段鲁棒优化模型，考虑储能、需求侧负荷及可控分布式电源的运行约束和协调控制，并引入不确定性调节参数，使调度方案能够适应不同场景。利用列约束生成算法和强对偶理论，将原问题分解为主问题和子问题交替求解，提高了求解效率。最终，在MATLAB平台上利用YALMIP工具箱调用CPLEX求解器进行了仿真分析，验证了模型和算法的有效性。适合人群：从事电力系统优化调度的研究人员和技术人员，尤其是对微网优化调度感兴趣的学者和工程师。使用场景及目标：适用于需要优化微网调度策略，降低成本并提高能源利用效率的实际应用场景。目标是在最恶劣场景下找到运行成本最低的调度方案，同时确保系统的稳定性。其他说明：本文提供的代码注释详实，出图效果好，适合用于教学和科研项目。

工业自动化中昆仑通态触摸屏控制ABB变频器的技术实现与应用

05-26

内容概要：本文详细介绍了昆仑通态触摸屏控制ABB变频器的技术实现过程及其应用场景。首先简述了昆仑通态触摸屏技术和ABB变频器的基本概念，接着重点讲解了两者之间的硬件连接和软件编程方法，包括具体的代码示例。文中还探讨了该技术在多个行业的广泛应用及其带来的诸多优势，如操作简便、节能高效等。适合人群：从事工业自动化领域的工程师和技术人员，尤其是对触摸屏控制技术和变频器有研究兴趣的人士。使用场景及目标：适用于机械制造、化工、纺织、食品加工等多个行业，旨在提升生产线的自动化水平，优化设备操作流程，达到节能增效的目的。其他说明：随着工业自动化的快速发展，此类技术将在更多领域得到推广和应用。文中提供的代码片段有助于读者快速上手实践，加深对该技术的理解。

Bugku CTF WEB解题技巧分享与讨论

- SQL注入：通过在SQL查询中插入恶意SQL代码，破坏原有的SQL逻辑，达到非法读取数据库信息、篡改数据库数据、获取数据库管理员权限等目的。 - XSS跨站脚本攻击：在网页中注入恶意的JavaScript脚本，当其他用户浏览这...

【Bugku web】 本地管理员

打开插件X-Forwarded-For Header IP设置为127.0.0.1

【Bugku web】本地管理员