本地查看 这是个傲娇的管理员,只能从本地才能看到想要的

最新推荐文章于 2024-08-03 21:32:11 发布
原创 最新推荐文章于 2024-08-03 21:32:11 发布 · 751 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

文章讲述了使用AWVS工具扫描时发现存在安全漏洞,通过修改Host和X-Forwarded-For为本地IP,绕过权限限制,获取flag的过程。

这题一进来就只有一张图片
在这里插入图片描述
利用awvs扫描之后发现存在敏感目录在这里插入图片描述
进入查看发现没有限权
在这里插入图片描述
而本题的名字叫做本地查看所以猜测是要修改host和X-Forwarded-For为本地的ip地址从而得到flag
得到flag
在这里插入图片描述
原本没有XFF的自己添加一个XFF

TID12
关注
【WSL 】--- Windows11 迁移 WSL 超详细指南 —— 给室友换一个宿舍!
秋知叶i
03-14 509
在编程的艺术世界里,代码和灵感需要寻找到最佳的交融点,才能打造出令人为之惊叹的作品。而在这座秋知叶i博客的殿堂里,我们将共同追寻这种完美结合,为未来的世界留下属于我们的独特印记。
Harbor镜像仓库安装与使用
axibazZ的博客
06-28 667
Harbor(港口,港湾)是一个用于存储和分发Docker镜像的企业级Registry服务器。除了Harbor这个私有镜像仓库之外,还有Docker官方提供的Registry。相对Registry,Harbor具有很多优势: 1. 提供分层传输机制,优化网络传输 Docker镜像是是分层的,而如果每次传输都使用全量文件(所以用FTP的方式并不适合),显然不经济。必须提供识别分层传输的机制,以层的UUID为标识,确定传输的对象。 2. 提供WEB界面,优化用户体验 只用镜像的名字来进行上传下载显然很不方便,需
本地管理员(BUGKU)
赶不上早饭的博客
10-08 604
本地管理员 正文 打开链接查看源码发现一串base64编码 对其进行base64解码得到test123,应该是密码。尝试用admin/登陆,提示IP禁止访问 题目是本地管理员,看题解后才知道要联系到本地管理员登陆,burp抓包伪造XFF头 然后发送即可得到flag ...
安恒月赛-2019年6月-web
wyj_1216 House
07-02 3783
localview 题目 有个傲娇管理员只能本地才能看到想要的~答案提交flag{}括号内的值。 writeup 根据题目提示 有两个注意点: 1、管理员 2、从本地 据此,我一开始进入了一条死路,直接在index.php的基础上,抓包,然后xff,实现欺骗,没有达到预期发现,于是考虑到管理员这一提示 正确解题过程: 首先先扫一下: 发现admin.php可访问, 于是访问后,发现: ...
S3cCTF-gyy-Writeup
Err0r_CM的博客
01-08 2549
S3cCTF-gyy-Writeup 出题人:gyy 写在前面: 本次招新赛我主要负责WEB方面的出题,当然兼顾一些MISC,本着简单易懂的原则,刚开始出了很多简单WEB题,但是这届新生的实力明显比我们当时强= =,后期又赶了一些提升题,当然和真正的CTF比赛还是有非常大的距离,例如在群里放出的周六的题目可以看出。所以,这些只是入门CTF的基础,去年的这时,我们参加的招新比赛比今年更加困难(所以今年我有同感地出了不少简单题),我希望大家不要止步于此,当初我也有一腔热血,觉得CTF不过如此(甚至还想双休)。但
【CTF WEB基础】本地管理员 Bugku CTF
yu_fly_fish的博客
08-03 1335
一起变强!
1.只有本地管理员才能访问本页面2.notes Happy Why am lfeeling so happy today? Well ljust got to spend threedays with
记录笔记
04-12 2981
只有本地管理员才能访问本页面 F12 看看源码 没啥东西 御剑看看后台 也没看出来有啥 看了下 需要管理员权限 在headers里面设置 添加一行 X-Forwarded-For127.0.0.1 flag{sgwxsSesSD232se14sdSVSsx} notes Happy Why am lfeeling so happy today? Well ljust got to spend threedays with some of my very best friends having fun t
OB10数据库工具中文版发布,一键操作简化数据库管理
OB10 数据库工具中文版是面向企业级应用的数据库管理工具,它为数据库管理员(DBA)提供了强大的功能以维护、监控和优化数据库环境。该工具在中文市场中具有特定的用户群体,针对中文用户的需求进行了本地化,从而...
ctfshow SSRF
..
02-28 1188
web 351 直接读取本地文件 url=file:///var/www/html/flag.php url=127.0.0.1/flag.php web352 这里要求是http或者https协议,只需要满足这个就可以了。 url=http://localhost/flag.php url=http://127.0.0.1/flag.php url=http://127.1/flag.php url=http://0.0.0.0/flag.php url=http:/...
网络安全技术——AAA
weixin_62594100的博客
04-04 5583
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费3种安全功能。用户可以只使用AAA提供的一种或两种安全服务。例如,公司只想让员工在访问某些特定资源时进行身份认证,那么网络管理员只要配置认证服务器即可。但是,如果希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。
CTF 疯狂的管理员
nbdzhr的博客
04-19 285
Bugku--CTF-- 1、本地管理员 2、网站被黑
记录笔记
07-07 1536
Bugku--CTF--1、本地管理员 2、网站被黑
访问被拒绝,必须是该远程计算机的管理员才能使用此命令。请将您的用户名添加到该远程计算机的管理员本地组或者域管理员全局组中
勿忘初心
05-20 1万+
Windows7系统在执行IISRESET时,抛错,错误信息如下: Windows7系统在执行IISRESET时,抛错“访问被拒绝,必须是该远程计算机的管理员才能使用此命令。请将您的用户名添加到该远程计算机的管理员本地组或者域管理员全局组中。”下面提供两种解决win7系统iisreset访问拒绝的方法: 解决方案:       直接启用administrator用户,用adminis
CTF writeup 1_网络安全实验室
热门推荐
Troy
10-26 32万+
基础关1.key在哪里? 过关地址打开网址 “key就在这里中,你能找到他吗? ” 看看源代码有没有线索~果然<html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head> <body> key就在这里中,你能找到他吗?
南邮ctf平台部分题解
xuqi7
06-11 2万+
南邮ctf平台部分wp
CTF平台题库writeup(二)--BugKuCTF-WEB(部分)
渗透、攻防、CTF、编程
06-26 4473
web2 flag在源码的注释里 计算器 改一下text文本框的最大输入位数>1即可 web基础$_GET GET方式传参即可 web基础$_POST post方式传参即可 矛盾 $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } 这题要求传参num不能是数字,而且num=1,一开始没有什么思路,认为是弱类型的绕过,传了true进去,发现无效,问
CTF--密码学笔记
code_lab
02-21 1万+
凯撒密码for shift in range(26): str = r"YSMWGTZOGVWGTNGHAOB" new_str = '' for i in str: if i >= 'A' and i <= 'Z': # or i>='A'and i<='Z': i = ord(i) i = ((i + sh
N1CTF WEB WriteUp
heySister
03-13 4576
77777 作为一个小白,瑟瑟发抖地选择了这道被解出次数最多的题目….emmm…还是有一些收获的。 首先题目给出了一些代码和一些信息: 信息是关于安装配置虚拟机的…和我之前配置环境的步骤,指令差不多…感觉应该没什么问题,就只是告诉我们服务器上有这个东西。 给出的代码就比较关键了。而且题目About 里说可以修改points ,告诉我们flag 是admin's password...
CTF Web题 部分WP
wywwzjj
11-26 14万+
1.web2 听说聪明的人都能找到答案 http://123.206.87.240:8002/web2/ CTRL + u 查看源代码 2.计算器 http://123.206.87.240:8002/yanzhengma/ 改一下字符输入长度的限制 3.web基础$_GET http://123.206.87.240:8002/get/ ?var=val 4.web基础$_P...
傲娇怪是什么心理
最新发布
08-30
关于“傲娇”这个概念,需要厘清学术定义和网络用语的差异。学术上接近“矛盾型依恋”,但网络用语更偏向萌属性。重点要解释: - 防御机制:用攻击性掩饰害羞的本质 - 行为模式:心口不一的言语特征 - 成因:可能和...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值