BugkuCTF web12_本地管理员 writeup

最新推荐文章于 2024-10-17 22:36:17 发布
原创 最新推荐文章于 2024-10-17 22:36:17 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#unctf

本文介绍了解决Web12_本地管理员安全挑战的方法,包括使用base64解码获取线索,尝试登录失败后的思考过程,以及通过伪造XFF请求头实现成功访问并获取flag的过程。

web12_本地管理员

原题链接

key:base64解码+XFF伪造请求头

①查看源代码发现了线索,拿去base64解码得到字符串‘test123'

②猜测用户名admin,密码test123,尝试登陆,发现登陆失败

③题干反复强调”本地",可以想到用伪造XFF请求头来访问

知识补充:伪造XFF头(IP欺骗)

④burpsuite抓包,送到repeater,然后在请求头部 Headers 添加 X-Forwarded-For:127.0.0.1,go一下即可得到flag

BugKu CTF(杂项篇MISC)—split_all
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
12-24 2782
BugKu CTF(杂项篇MISC)—split_all 文章目录BugKu CTF(解密篇Crypto)—split_allfile 010 打开常用文件头把前面png文件头删去,补全gif文件头,另存为gif文件stegsolve打开python 拼接flag file 010 打开 常用文件头 JPEG (jpg),文件头:FFD8FF PNG (png),文件头:89504E47 GIF (gif),文件头:47494638 ZIP Archive (zip),文件头:504B
bugkuctf web基础部分 writeup
river
03-20 3116
Bugku-ctf-web 管理员系统 随便输入用户名和密码提示 窗体顶端 窗体底端 IP禁止访问,请联系本地管理员登陆,IP已被记录. 明显需要伪造允许登录的IP 知识点: XFF头(X-Forwarded-For),代表客户端,也就是HTTP的请求端真实的IP。有两种方式可以从HTTP请求中获得请求者的IP地址。一个是从Remote Address中获得,另一个是从X-Forward-For中...
Bugku CTF-web12本地管理员
weixin_44023403的博客
04-25 1890
Bugku CTF-web12本地管理员知识积累解题 知识积累 base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法。 XFF伪造请求头: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 简单来说,XXF是告诉服务器当前请求者的最终ip的http请求头字段,通常可以直接通过修改http头中的X-Forwarded-For字段来仿
Bugku——本地管理员
最新发布
weixin_71914594的博客
10-17 1234
Bugku——本地管理员
BugKu CTF Web 本地管理员
m0_46296296的博客
11-04 467
题目描述: 一个登录页面,惯例先看下源码 一长串n后面的注释里有段密文,打开bp进行解码 得到test123,目测是密码。 返回登录页面随便输入一个账号密码 用bp进行抓包,添加x-forwarded-for:127.0.0.1绕过ip限制 可以看到已经绕过了ip限制,只需输入正确的账号密码即可;将密码改为test123,对用户名进行爆破 得到用户名为admin 返回repeater,输入账号密码,得到flag ...
Bugku CTF web12Web
ChaoYue_miku的博客
02-23 1322
0、打开网页,发现需要输入用户名和密码 用户名使用admin 密码可以爆破得到,也可以查看注释 将dGVzdDEyMw==进行base64解码得到密码:test123 1、输入用户名和密码 无法登录,提示只有本地管理员可以访问,由此考虑到使用xff方法修改IP为本地地址 2、使用BurpSuite抓包 3、添加:X-Forwarded-For: 127.0.0.1后发送 4、得到flag:flag{9876894a5ec96ef77b6d54ba5cd983bf.
bugku 本地管理员
m0_62709637的博客
07-04 622
bugku 本地管理员
BugkuCTF——最新webwriteup(持续更新)
1匹黑马
11-16 4486
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
BugkuCTF练习平台pwn3(read_note)的writeup
只影的博客
03-05 1734
在Bugku的pwn题中,这道题分值最高,也是难度最大的一道。难点在于,第一要读懂题目找出漏洞,第二是要绕过各种保护机制,第三是exp的编写调试。看一眼程序的保护机制,发现除了RELRO所有保护全开,还是有点头疼的,毕竟我刚开始学pwn没几天,还没有做过PIE和Canary的题目,所以调试还是花了不少时间的。 首先分析程序,重要部分如下所示。一开始会让你输入一个路径,不存在的话就会报错推出,然后打...
[Bugku] web-CTF靶场系列详解①!!!
muyuchen110的博客
07-30 1556
平台为“山东安信安全技术有限公司”自研CTF/AWD一体化平台,部分赛题采用动态FLAG形式,避免直接抄袭答案。
BugKu-----本地管理员
qq_45616570的博客
06-24 1273
title: BugKu-----本地管理员 date: 2021-06-24 19:48:44 description: 前言:零度安全搭建博客后的第N篇文章 top: categories: BugKu刷题 tags: 网络安全 BugKu BugKu-----本地管理员 题目 解题思路 本地管理员可以联想到的是ip的问题,又是xxf 解题过程 先尝试用admin/admin进行登录,发现ip被记录。需要本地管理员 使用插件X-Forword将ip修改为127.0.0.1 源码里看到的b.
Bugku web12 本地管理员
weixin_44522540的博客
02-22 1553
八、web12 本地管理员 打开发现有一串nnn,看下源码 发现一串被注释掉的字符串,猜测base64编码,解码后是test123,应该是密码。尝试用admin/test123登陆,IP被禁了 应该就不是爆用户名和密码的问题了 又题目描述本地管理员,联系本地管理员登陆,burp抓包伪造XFF头 go一下就得到flag啦 ...
bugku:web-本地管理员
2401_87409911的博客
10-08 306
老规矩先看源码,(特别注意注释)发现base64编码,解码之后得到test123,于是拿到原网页中去试发现不行,ip错了,提示要本地管理员。在请求头加入X-Forwarded-For:127.0.0.1。说明我们在提交账号密码时要将服务器识别到的Ip改为本地ip。于是用burp打开内嵌浏览器在提交后抓包,然后在主体参数中输入账号admin。1.进去以后发现要输入账号密码。
Web】-本地管理员
年轻的痞子的博客
05-26 317
一、打开场景 二、查看源码 一定扫完全部的信息,在最后有编码 看着像是Base64编码,于是解码试试 猜测test123可能是账号密码,于是试试 集合题目本地管理员 admin test123登录也是失败的 于是用XFF去伪造一下IP (插件采用的是火狐中的插件) 用admin test123登录成功,得到flag ...
bugku(web)本地管理员
m0_62709637的博客
11-30 2910
进入场景发F12查看源代码发现提示:dGVzdDEyMw== 根据末尾的等号很容易联想到该密码是base64; base64在线解码得到:test123(这就是密码) Username为admin(从大佬博客里嫖(貌似是因为管理员系统为提示)的不大理解为什么,希望各位小伙伴不吝赐教) 将密码和用户名输入后点击submit显示无法登录,之后用bp抓包 在proxy界面==》右键send to repeatr(快捷键ctrl+r)==》 在row下添加X-Forworded-For:1...
Bugku,WEB本地管理员
Pai_Space
10-25 324
1. 首先我们进入场景 看到登录框随便输入用户名admin,密码1234先试试 发现ip禁止访问 看一眼F12发现小提示为base64编码 解码得到test123 推测是密码 重新登陆,发现无法访问,伪造ip进行登录 抓包添加XXF请求头,并输入admin和test123 发送 得到flag ...
bugku-writeup-web-本地管理员
dark的博客
06-14 292
“bugku-web12解题思路记录。” ​ 01 — 解码 按F12查看源码,发现登陆密码。 使用base64在线工具解码,得到密码为test123。 02 — 本地登陆 输入用户名:admin,密码:test123,提示无法登陆,并显示“IP禁止访问,请联系本地管理员登陆,IP已被记录”。可以推断需要本地登陆,因此,打开Burp suite抓包,在Proxy查看HTTP history。 发送到Repeater,添...
bugku web12 本地管理员
PRCORANGE的博客
04-08 266
按照习惯打开F12 在源码中发现提示,为base64编码 转码得到test123,猜测为密码,题目为本地管理员,猜测用户名为root或admin(此步猜不出来可以用bp破解),尝试提交 发现ip被限制,猜测提交ip必须为本地,使用bp抓包,更改表头,请求头部 Headers 添加 X-Forwarded-For:127.0.0.1 得到flag ...
Bugku web 管理员系统 write up
热门推荐
酉酉的博客
09-07 1万+
打开解题网址 很像sql注入的题,随便输入个账号先试试 看到这个就想到X-Forwarded-For 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP 伪造一个XFF头,伪装成本地登录 X-Forwarded_For: 127.0.0.1 在来看看源码 这个我一直没发现里面的玄机,怪我太s了,后来才看到在源码的最后面有一个base64的编码 解密为t...
Bugku CTF WEB解题技巧分享与讨论
标题和描述中提到的知识点主要涉及CTF(Capture The Flag,夺旗赛)中的WEB类型题目,以及解题思路和writeup的编写和分享。下面详细说明这些知识点: 1. CTF概念解析 CTF是一种信息安全竞赛,通常分为多种类型,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mitch311

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值