CTF成长记录----bugku程序员本地网站

最新推荐文章于 2025-12-05 17:57:22 发布

原创最新推荐文章于 2025-12-05 17:57:22 发布 · 199 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#服务器 #运维

打开网址后出现请本地访问。我们可以想到

X-Forwarded-For: 127.0.0.1

它的意思是告诉服务器：我是代理，127.0.0.1（服务器的本地地址）才是我真实的IP地址

从而实现IP伪造

意思就连上了

然后使用bp抓包在里面加上X-Forwarded-For: 127.0.0.1然后发送到repeater

然后点send就出结果了。

flag{63abc8a10bf679b2e7d7740a125bc38e}

和这个题目有相同思路的是

黑客不会留下后门

这个道题打开后是一个登录界面，用户名非常简单。密码就是弱密码

然后同样的加上X-Forwarded-For: 127.0.0.1就行

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

molianche

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Bugku CTF_Web——程序员本地网站

weixin_71914594的博客

10-23

479

进入题目老规矩先F12看看。把包丢入repeater里。题目叫“程序员本地网站”会不会还是XFF伪造漏洞。扫了半天目录啥也没发现。再将伪造的xxf放进去。那就继续扫扫目录看看。简简单单flag到手。

### CTF-All-In-One 超全学习文档资料

04-13

内容概要：本文档《ctf-all-in-one.pdf》是一份全面的CTF（夺旗赛）学习指南，涵盖了CTF的基础知识、各类题型、常用工具、高级技术和实战技巧。文档首先介绍了CTF的概念及其发展历史，解释了CTF比赛的形式和规则，...

参与评论您还未登录，请先登录后发表或查看评论

bugku ctf 程序员本地网站（请从本地访问）

qq_42777804的博客

08-01

1万+

打开网站之后使用burp抓包修改添加Client-ip: 127.0.0.1 （相当于从本地访问哈哈哈） forward即可

BugKuCTF套路满满------你从哪里来，程序员本地网站

qq_42133828的博客

12-12

1767

这两道题目其实都很相似。先说 程序员本地网站，这一题只需要抓包添加一个header头部参数， X-Forwarded-For：127.0.0.1 在发送即可再说你从哪里来，这道题和程序员本地网站大同小异，也是抓包添加一个header头部参数 Referer：https://www.google.com 即可。。。。。 ...

BugKu -- 程序员本地网站

小水池

08-13

6711

程序员本地网站 100 http://120.24.86.145:8002/localhost/ 请从本地访问这道题要求从本地访问，打开burpsuite抓包，加上：X-Forwarded-For: 127.0.0.1 就好了 X-Forwarded-For: 简称XFF头，它代表客户端，也就是HTTP的请求端真实的IP，只有在通过了HTTP 代理或者负载均衡...

CTF之Bugku 程序员本地网站

weixin_41607190的博客

10-28

1066

原理：请求头中有一个client-ip，可以告诉服务器从什么ip地址访问。例如在请求头中加上这表名从本地访问，127.0.0.1一般指本地的ip

BugkuCTF-你从哪里来、程序员本地网站

veinard_F的博客

03-06

805

1、你从哪里来 2、程序员本地网站点开链接后出现，猜测需要改变本地IP

网络安全资源导航

热门推荐

m0_74080781的博客

10-24

1万+

（一）T00ls 论坛介绍：十年民间网络安全老牌社区，聚合安全领域人才，专注研究和学习网络安全知识，推动中国网络安全进步与技术创新。（二）奇安信攻防社区介绍：社区专注于攻防技术交流与研究，提供丰富的安全知识和实践经验分享。（三）CT Stack 安全社区网址：https://stack.chaitin.com/介绍：CT Stack 安全社区致力于守护安全工具成长,秉持探索与共享的理念,收录更多优质工具。规范安全工具标准,与之共生共赢（四）SecQuan。

CTFWeb-BUUCTF竞赛真题WriteUp(1）_ctf no0b

yy1715713348的博客

03-15

4475

BUUCTF （北京联合大学CTF）平台拥有大量免费的 CTF 比赛真题环境：此处记录下部分 Web 题目练习过程。

CHIMA网络安全攻防大赛经验分享

Hacker_xingchen的博客

03-14

1638

给小伙伴们的意见是想清楚，自学网络安全没有捷径，相比而言系统的网络安全是最节省成本的方式，因为能够帮你节省大量的时间和精力成本。坚持住，既然已经走到这条路上，虽然前途看似困难重重，只要咬牙坚持，最终会收到你想要的效果。黑客工具&SRC技术文档&PDF书籍&web安全等（可分享）网络安全产业就像一个江湖，各色人等聚集。

ctf-all-in-one

01-30

ctf-all-in-one

CTF-misc工具2-CTF-Tools-masterV1.3.7

08-17

CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。使用场景: 在CTF竞赛...

ctf-all-in-one.pdf

05-25

CTF-All-In-One（CTF 从入门到放弃） ——“与其相信谣言，不如一直学习。”ctf基础加入门题

Linux 常用命令分类详解

最新发布

taotiezhengfeng的博客

12-05

1036

本文总结了Linux常用命令手册，涵盖文件和目录操作、权限管理、系统监控、进程控制、文本处理、压缩归档、用户管理、软件包安装、网络操作等核心功能。重点包括：目录导航（cd/ls）、文件操作（cp/mv/rm）、权限设置（chmod/chown）、进程管理（ps/kill）、文本处理（grep/awk/sed）、压缩解压（tar/gzip）等实用命令，并介绍了查看帮助文档的方法（man/--help）。这些命令组合使用可完成日常系统管理、文件处理和网络操作等任务。

一个 CMake 项目是否只能有一个 install 目录？

威桑的博客

12-02

484

cmake install 的背后动作

高集成度国产八串口联网服务器：工业级多设备联网解决方案

hnbwzn的博客

12-02

947

国产八串口联网服务器为工业数字化转型提供可靠解决方案，实现硬件国产化与通信安全双重突破。该设备配备8路独立RS485/232接口，支持多设备同时接入，采用隔离防护设计提升抗干扰能力（静电放电±6KV，浪涌抗扰度±4KV）。搭载国产ARM处理器和嵌入式Linux系统，确保全栈自主可控。支持WEB配置管理，1U机架式设计节省空间，适用于智能制造、智能建筑、环境监测等领域，满足工业级恶劣环境使用需求。

IDC 热点零盲区！±0.3℃高精度以太网传感器，机柜级监测防服务器宕机

盛世宏博的博客

12-04

494

摘要：以太网温湿度传感器专为IDC机房设计，解决高密度服务器散热（±0.3℃精度）、冷凝水结露（露点预警）及24/7运行（POE+DC双供电）等痛点。支持MODBUS协议千点组网，POE供电简化布线，抗电磁干扰确保稳定。核心价值包括：1）精准调控冷热通道（降低PUE值）；2）无缝对接动环系统（秒级响应）；3）节省30%部署成本（低功耗+防雷设计）。典型方案中，每2机柜部署1只传感器，联动空调实现闭环控制，成为IDC动环监控的高效解决方案。

服务器的安全性如何保障

gaize1213的博客

12-04

944

服务器安全性保障的核心是 “多层防御 + 持续优化”，没有绝对的安全，只有相对的风险降低。优先落地 “系统加固、防火墙配置、数据加密与备份、堡垒机运维” 等基础措施，再根据业务重要性逐步提升防护等级（如部署 WAF、DDoS 高防、渗透测试）。关键是建立 “技术 + 制度 + 人员” 的三位一体防护体系，定期审计和演练，及时应对新的安全威胁。如果需要针对具体场景（如电商服务器、数据库服务器、云服务器）的 “安全加固清单”，可以告诉我你的业务需求，我会整理对应的分步操作指南～

CTF中zk-SNARKs协议的前端攻击向量分析

同时提到了CTF-Misc领域常见的技术手段如隐写术、编码转换、音频分析等，暗示本文虽然主题聚焦于密码学高级协议，但仍属于广义上的“Misc”（杂项）挑战范畴，要求解题者具备跨领域的综合能力。尤其值得注意的是，...