本地查看这是个傲娇的管理员，只能从本地才能看到想要的

最新推荐文章于 2024-08-03 21:32:11 发布

TID12

最新推荐文章于 2024-08-03 21:32:11 发布

阅读量712

点赞数 5

CC 4.0 BY-SA版权

文章标签：网络安全

本文链接：https://blog.youkuaiyun.com/TID12/article/details/135093650

文章讲述了使用AWVS工具扫描时发现存在安全漏洞，通过修改Host和X-Forwarded-For为本地IP，绕过权限限制，获取flag的过程。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

这题一进来就只有一张图片
在这里插入图片描述
利用awvs扫描之后发现存在敏感目录
进入查看发现没有限权

而本题的名字叫做本地查看所以猜测是要修改host和X-Forwarded-For为本地的ip地址从而得到flag
得到flag

原本没有XFF的自己添加一个XFF

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

TID12

关注关注

5
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

【WSL 】--- Windows11 迁移 WSL 超详细指南 —— 给室友换一个宿舍！

秋知叶i

03-14

236

在编程的艺术世界里，代码和灵感需要寻找到最佳的交融点，才能打造出令人为之惊叹的作品。而在这座秋知叶i博客的殿堂里，我们将共同追寻这种完美结合，为未来的世界留下属于我们的独特印记。

基于GUI的kvm安装WindowsXP，并且在安装时加载virtio驱动。更新声音使用方法

dianyi2646的博客

08-16

713

有关kvm的使用说明其实不少，但基本都是命令行，对于新手来说不够直观，而且都没有提到关于virtio驱动的安装。于是就再发一篇。使用virtio接口的虚拟硬盘和虚拟网络的性能不是默认的那个IDE接口能比的。从安装虚拟机到运行虚拟系统，全部只要三次使用到命令行。基于10.04，理论上也适用于9.10。以下，开始。确保CPU支持并开启虚拟化：代码: egrep '(vmx|svm)' ...

参与评论您还未登录，请先登录后发表或查看评论

1.只有本地管理员才能访问本页面2.notes Happy Why am lfeeling so happy today? Well ljust got to spend threedays with

记录笔记

04-12

2877

只有本地管理员才能访问本页面 F12 看看源码没啥东西御剑看看后台也没看出来有啥看了下需要管理员权限在headers里面设置添加一行 X-Forwarded-For127.0.0.1 flag{sgwxsSesSD232se14sdSVSsx} notes Happy Why am lfeeling so happy today? Well ljust got to spend threedays with some of my very best friends having fun t

CTF 疯狂的管理员

nbdzhr的博客

04-19

225

本地管理员(BUGKU)

赶不上早饭的博客

10-08

570

本地管理员 正文打开链接查看源码发现一串base64编码对其进行base64解码得到test123，应该是密码。尝试用admin/登陆，提示IP禁止访问题目是本地管理员，看题解后才知道要联系到本地管理员登陆，burp抓包伪造XFF头然后发送即可得到flag ...

安恒月赛-2019年6月-web

wyj_1216 House

07-02

3724

localview 题目有个傲娇的管理员，只能从本地才能看到想要的~答案提交flag{}括号内的值。 writeup 根据题目提示有两个注意点： 1、管理员 2、从本地据此，我一开始进入了一条死路，直接在index.php的基础上，抓包，然后xff，实现欺骗，没有达到预期发现，于是考虑到管理员这一提示正确解题过程：首先先扫一下：发现admin.php可访问，于是访问后，发现： ...

S3cCTF-gyy-Writeup

Err0r_CM的博客

01-08

2450

S3cCTF-gyy-Writeup 出题人：gyy 写在前面：本次招新赛我主要负责WEB方面的出题，当然兼顾一些MISC，本着简单易懂的原则，刚开始出了很多简单WEB题，但是这届新生的实力明显比我们当时强= =，后期又赶了一些提升题，当然和真正的CTF比赛还是有非常大的距离，例如在群里放出的周六的题目可以看出。所以，这些只是入门CTF的基础，去年的这时，我们参加的招新比赛比今年更加困难（所以今年我有同感地出了不少简单题），我希望大家不要止步于此，当初我也有一腔热血，觉得CTF不过如此（甚至还想双休）。但

【CTF WEB基础】本地管理员 Bugku CTF

最新发布

yu_fly_fish的博客

08-03

1131

一起变强！

Bugku--CTF-- 1、本地管理员 2、网站被黑

记录笔记

07-07

1471

Bugku--CTF--1、本地管理员 2、网站被黑

OB10数据库工具中文版发布，一键操作简化数据库管理

OB10 数据库工具中文版是面向企业级应用的数据库管理工具，它为数据库管理员（DBA）提供了强大的功能以维护、监控和优化数据库环境。该工具在中文市场中具有特定的用户群体，针对中文用户的需求进行了本地化，从而...

夏令营复习准备

qq_32769481的博客

11-21

5779

文章目录算法学习资源数据结构交大计算机题目数学高等数学**离散数学**概率论线性代数逻辑推理题科研经历AI人工智能机器学习的现状和未来机器学习软件工程软件工程软件测试计算机基础操作系统数据库计算机网络计算机组成原理编译原理云计算英语阅读能力写作能力英文面试问题项目项目问题个人情况资料简历个人陈述学校LAMDA材料申请和lamda面试夏令营机试面试资料撰写交大计算机北大cha院北大信科资源计算机各种...

SUSE服务器如何解决离线安装MySQL依赖问题

此外，对于想要更深入了解MySQL的高级特性，比如集群配置、复制和分片等，需要进一步的学习和实践。通过本教程，系统管理员将能够掌握在SUSE环境下离线安装MySQL服务器的关键知识和技能，从而在不依赖互联网的情况...

访问被拒绝，必须是该远程计算机的管理员才能使用此命令。请将您的用户名添加到该远程计算机的管理员本地组或者域管理员全局组中

勿忘初心

05-20

1万+

Windows7系统在执行IISRESET时，抛错，错误信息如下： Windows7系统在执行IISRESET时，抛错“访问被拒绝，必须是该远程计算机的管理员才能使用此命令。请将您的用户名添加到该远程计算机的管理员本地组或者域管理员全局组中。”下面提供两种解决win7系统iisreset访问拒绝的方法：解决方案：直接启用administrator用户，用adminis

CTF writeup 1_网络安全实验室

热门推荐

Troy

10-26

32万+

基础关1.key在哪里？过关地址打开网址 “key就在这里中，你能找到他吗？ ” 看看源代码有没有线索~果然<html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head> <body> key就在这里中，你能找到他吗？

南邮ctf平台部分题解

xuqi7

06-11

2万+

南邮ctf平台部分wp

CTF平台题库writeup（二）--BugKuCTF-WEB（部分）

渗透、攻防、CTF、编程

06-26

4357

web2 flag在源码的注释里计算器改一下text文本框的最大输入位数>1即可 web基础$_GET GET方式传参即可 web基础$_POST post方式传参即可矛盾 $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } 这题要求传参num不能是数字，而且num=1，一开始没有什么思路，认为是弱类型的绕过，传了true进去，发现无效，问

CTF--密码学笔记

code_lab

02-21

1万+

凯撒密码for shift in range(26): str = r"YSMWGTZOGVWGTNGHAOB" new_str = '' for i in str: if i >= 'A' and i <= 'Z': # or i>='A'and i<='Z': i = ord(i) i = ((i + sh

N1CTF WEB WriteUp

heySister

03-13

4522

77777 作为一个小白，瑟瑟发抖地选择了这道被解出次数最多的题目….emmm…还是有一些收获的。首先题目给出了一些代码和一些信息：信息是关于安装配置虚拟机的…和我之前配置环境的步骤，指令差不多…感觉应该没什么问题，就只是告诉我们服务器上有这个东西。给出的代码就比较关键了。而且题目About 里说可以修改points ，告诉我们flag 是admin's password...

CTF Web题部分WP

wywwzjj

11-26

13万+

1.web2 听说聪明的人都能找到答案 http://123.206.87.240:8002/web2/ CTRL + u 查看源代码 2.计算器 http://123.206.87.240:8002/yanzhengma/ 改一下字符输入长度的限制 3.web基础$_GET http://123.206.87.240:8002/get/ ?var=val 4.web基础$_P...

本地查看 这是个傲娇的管理员，只能从本地才能看到想要的

本地查看这是个傲娇的管理员，只能从本地才能看到想要的