bugku web12 本地管理员

最新推荐文章于 2025-06-08 00:24:51 发布
原创 最新推荐文章于 2025-06-08 00:24:51 发布 · 268 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ctf #bugku #web

本文讲述了作者通过F12开发者工具发现Base64编码的密码线索,推测用户名并遭遇IP限制。通过抓包技巧,调整请求头获取本地管理员权限,最终揭示flag的过程。

在这里插入图片描述
按照习惯打开F12
在这里插入图片描述
在源码中发现提示,为base64编码
在这里插入图片描述
转码得到test123,猜测为密码,题目为本地管理员,猜测用户名为root或admin(此步猜不出来可以用bp破解),尝试提交
在这里插入图片描述
发现ip被限制,猜测提交ip必须为本地,使用bp抓包,更改表头,请求头部 Headers 添加 X-Forwarded-For:127.0.0.1
在这里插入图片描述
得到flag
在这里插入图片描述

PRCORANGE
关注
Bugku本地管理员
金 帛的博客
03-16 4481
BugkuWP
Bugku——本地管理员
weixin_71914594的博客
10-17 1237
Bugku——本地管理员
Bugku---web---本地管理员
weixin_47450099的博客
04-30 364
Bugku---web---本地管理员 网络安全
BugKu-----本地管理员
qq_45616570的博客
06-24 1276
title: BugKu-----本地管理员 date: 2021-06-24 19:48:44 description: 前言:零度安全搭建博客后的第N篇文章 top: categories: BugKu刷题 tags: 网络安全 BugKu BugKu-----本地管理员 题目 解题思路 本地管理员可以联想到的是ip的问题,又是xxf 解题过程 先尝试用admin/admin进行登录,发现ip被记录。需要本地管理员 使用插件X-Forword将ip修改为127.0.0.1 源码里看到的b.
bugku- 本地管理员
m0_62094846的博客
10-24 303
需要输入username和password,查看源代码 有这样一串特殊符号,看着应该是base64加密过的,解密得到test123 Username猜测是admin,密码是test123 如果账号密码是正确的,问题应该就是“管理员系统”了,可以尝试改变IP地址 用burp添加xff就可以得到flag了 ...
Bugku CTF_Web——需要管理员
weixin_71914594的博客
10-23 844
再访问一下resusl.php看看。扫出来一个robots.txt。既然说我不是管理员记录我的ip。还是老样子先扫一扫目录。根据提示变成管理员看看。
bugku-web12-本地管理员
weixin_50774579的博客
05-24 1633
1.查看源代码发现了线索,base64解码得到字符串‘test123' 2.管理员默认账号admin,密码test123,登录,提示IP禁止访问,请联系本地管理员登陆,IP已被记录. burp拦截,发到repeater, 添加http头X-Forwarded-For: 127.0.0.1,即可 也可以用hackbar直接在浏览器上完成,这个比较简单。 要注意!X-Forwarded-For: 127.0.0.1(IP前面要有一个空格) base64解码+XFF伪造请求头 知识点:以...
Bugku CTF-web12本地管理员
weixin_44023403的博客
04-25 1890
Bugku CTF-web12本地管理员知识积累解题 知识积累 base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法。 XFF伪造请求头: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 简单来说,XXF是告诉服务器当前请求者的最终ip的http请求头字段,通常可以直接通过修改http头中的X-Forwarded-For字段来仿
BUGKU--本地管理员
m0_65766842的博客
03-01 222
1
BugKu_本地管理员
Kobalos的博客
07-28 1527
访问目标地址,可以看到是一个管理员登陆页面 f12查看源码,发现一段base64加密的字符串 解码结果为test123,因为是管理员系统,所以暂时猜测账号密码为,admin/test123 尝试登录发现失败了,显示ip禁止访问 联想到题目是本地管理员,所以尝试XFF-IP伪造 点击发包,成功在返回包中发现flag 注: ...
bugku-本地管理员
qq_38634097的博客
04-23 426
- dGVzdDEyMw== --> ,有因为字符串以=结尾,判断是base64编码,利用在线解码工具得到值为test123.但是不确定该值是账号还是密码,管理员账号一般为admin,暂且猜测test123为密码,在登陆框输入admin/test123.还是提示IP已被记录。打开场景是登录框,尝试弱口令登录,这里我使用的弱口令有:admin/123456、admin/888888、admin/admin、admin/admin23等。根据提示,可以想到更换IP,于是利用HTTP协议的xff跟换IP。
bugku 本地管理员
m0_62709637的博客
07-04 622
bugku 本地管理员
Bugku-本地管理员
2401_87218800的博客
06-08 460
(4)、这个时候尝试用burpsuite抓包,伪造X-Forwarded-For(HTTP的一个扩展头部)的值为本地ip 127.0.0.1(以此来欺骗服务器端),让它误以为请求来自可信任的本地地址。(因为拦截一直是开启的,所以我们现在可以看到这个请求内容多加了一行账号密码信息,也就是我们刚刚输入的)(5)、打开bp代理,拦截开启,打开内置浏览器,访问该url,网页不显示内容。(3)、猜测登入的密码应该是test123,而管理员默认姓名就是admin。添加完然后放行,这个时候就出现了flag。
Bugku---本地管理员
2201_75556700的博客
03-07 1457
【代码】Bugku---本地管理员
本地管理员(BUGKU)
赶不上早饭的博客
10-08 609
本地管理员 正文 打开链接查看源码发现一串base64编码 对其进行base64解码得到test123,应该是密码。尝试用admin/登陆,提示IP禁止访问 题目是本地管理员,看题解后才知道要联系到本地管理员登陆,burp抓包伪造XFF头 然后发送即可得到flag ...
BUGKU-WEB 本地管理员
默默提升实验室
02-16 866
BUGKU-WEB 本地管理员,绕开限制
Bugku-web-本地管理员
qq_68457525的博客
06-26 866
ctf练习之修改文件头实现本地登录
bugku:web-本地管理员
2401_87409911的博客
10-08 307
老规矩先看源码,(特别注意注释)发现base64编码,解码之后得到test123,于是拿到原网页中去试发现不行,ip错了,提示要本地管理员。在请求头加入X-Forwarded-For:127.0.0.1。说明我们在提交账号密码时要将服务器识别到的Ip改为本地ip。于是用burp打开内嵌浏览器在提交后抓包,然后在主体参数中输入账号admin。1.进去以后发现要输入账号密码。
用yakit 做bugku里面的本地管理员
最新发布
07-08
Bugku CTF 的“本地管理员”题目中,通常的目标是获取系统的管理员权限或读取特定文件(如 flag)。Yakit 是一个功能强大的安全测试工具,集成了代理、扫描、插件系统等功能,适合用于漏洞挖掘和利用。 以下是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值