在线靶场-墨者-网络安全1星-IP地址伪造(第2题)

最新推荐文章于 2024-03-14 16:41:18 发布
最新推荐文章于 2024-03-14 16:41:18 发布
阅读量437 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 在线靶场-墨者题目 文章标签: 墨者学院-靶场题目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42079912/article/details/96481814

打开网站,发现需要登录,尝试用弱口令登录,试出使用账号test 密码test进行登录,发现只有台湾地区的ip才能登录。
在这里插入图片描述
打开浏览器代理,运行burp suite,进行登录抓包。抓到数据包后,将数据包send to Repeater,在Repeater的页面修改数据内容,添加X-Forwarded-For: 140:113:215:224(ip地址是台湾的即可)。点击GO发送,得到网页反馈信息,伪造地区IP地址成功,获得key。
在这里插入图片描述

记一次pikachu靶场弱口令基于表单的暴力破解 仅作为靶场练习
m0_61275717的博客
01-25 531
pikachu靶场暴力破解,bp,burpsuite,暴力破解,弱口令,爆破,字典,靶场
墨者靶场网络安全篇练习
rt555016的博客
08-01 1231
墨者靶场练习 一、来源页伪造 前言:打开靶场显示如下页面 这句话的意思是访问该页面只能是https:google.com 访问,在浏览器发送的请求头中referce表示访问该页面的地址(来源页),这是可以通过修改该参数来绕过限制。如图所示 重新发送数据包得到key 二、浏览器信息伪造 打开页面之后显示如下信息 表明它通过通过检测浏览器信息来限制访问,题目中给的提示如下图。表示它是以user-agent字符串中的NetType字段用来标识来限制访问的,所以可以修改该字符串来绕过限制 如图所示修改us
墨者学院-IP地址伪造(2)
JimWu的博客
09-04 666
IP地址伪造(2) 难易程度:★ 题目类型:网络安全 使用工具:FireFox浏览器、burpsuite 1.打开靶场,看到需要用户名密码登录。 2.尝试常用的弱口令,最终知道用户名和密码都为test。 3.登录后发现只允许台湾的ip登录。 4.打开Burpsuite,再登录一次,截包。 在网上随便搜一个台湾的ip地址。 在下方加入X-Forwarded-For:台湾ip。 forwar...
墨者 - IP地址伪造(2)
吃肉唐僧的博客
07-18 455
因为是测试系统,所以弱口令猜测为test 而且仅限台湾系统登录, 上网随便找个台湾的ip地址即可 X-Forwarded-For:123.193.100.221 还是利用X-Forwarded-For伪造ip ...
墨者学院——IP地址伪造(2)
2303_76679642的博客
08-27 497
有两个解决方法步骤1:进入靶场后,首先看到的是登录界面,我们尝试使用弱密码(test)发现显示的是下图所示步骤2:根据提示,此时我们只需要将IP设置为台湾IP就行,所以本我们将用到一个插件X-Forwarded-For Header (这个插件可以在火狐上进行下载)这里讲一下如何下载插件X-Forwarded-For Header:添加插件步骤1:添加插件步骤2: 添加插件步骤3: 添加插件步骤4:下载完之后,会有一个对话框如下,点击添加即可这样就能在url地址框后面看到该插件,完操作后,如果不
IP地址伪造(2)
qq_36933272的博客
09-01 474
首先猜测弱口令登陆,由于是测试账号,猜测用户名密码都是test 发现页面有跳转,提示要台湾地区用户才能登陆 打开burpsuite,截取发送登陆请求的包,send to repeater 伪造ip地址 X-Forwarded-For:台湾任意ip地址,下面一行留空 Go 得到key ...
墨者学院靶场web安全入门
weixin_42393944的博客
04-06 757
一.uWSGI 漏洞复现(CVE-2018-7490)——路径遍历 漏洞详情说明:https://www.anquanke.com/vul/id/1124864 (通过编号去查找此漏洞的详情) DETAILS ------- The documentation of uWSGI states that the php-docroot option is used to jail our p...
mozhe靶场——网络安全——投票系统程序设计缺陷分析
qq_52680340的博客
06-02 966
背景介绍年终了,公司组织了各单位"文明窗口"评选网上投票通知。 安全工程师"墨者"负责对投票系统进行安全测试,看是否存在安全漏洞会影响投票的公平性。实训目标1、了解浏览器插件的使用;2、了解开发程序员对IP地址获取方式;3、了解网络协议软件的使用,如burpsuite等;解方向根据页面提示,进行投票页面测试。打开靶场要求为ggg号选手投票让他获得第一名,但是只有一次机会!!!所以怎么给他投更多的票呢????由提示可以看出,它应该是限制IP,也就是一个IP只能投一次。这就要知道PHP获取IP的一些方式,其中
B站小迪安全学习笔记第2-数据包拓展
m0_61530426的博客
07-08 387
小迪安全笔记
墨者学院——投票系统程序设计缺陷分析
Lollipop_zhi的博客
01-13 2447
启动靶场,给ggg投票,第二次投票不功,猜测有对IP地址的获取(看页面源代码也可以知道) 可以搜索一下php是怎么获取IP地址的。众所周知,可以通过XFF来伪造IP地址。简单地说,XFF是告诉服务器当前请求者最终ip的http请求头字段,通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip。XFF的一些理解 抓包,进行下图操作 如下图 如下图,数字范围自己定,只要能得第一,不需要太多 开始攻击 看一下返回的数据包,errorcode..
FCKeditor使用指南(FCKeditor_2.6.3)
03-01
整理好的fckedidor 博文链接:https://abeetle.iteye.com/blog/233834
CTF-IP地址伪造(2)
asd158923328的博客
08-24 2703
根据意 进入环境,根据提示“只有台湾地区的ip才能登录。“和测试账号猜测test账号。burp suite进行登录抓包进行弱密码爆破,构造X-Forwarded-For:140.113.215.224 (ip地址是台湾的即可)。点击GO发送,得到网页反馈信息,伪造地区IP地址功,获得key。 ...
墨者 - IP地址伪造(1)
吃肉唐僧的博客
07-18 457
正常登录,会提示需要本地服务器才可以登录 推断做了ip地址校验 用bp抓包 X-Forwarded-For: 127.0.0.1 伪装代理ip地址 密码猜测为admin,admin
在线靶场-墨者-网络安全2-IP地址伪造(1)
weixin_42079912的博客
07-19 575
点开靶场地址,发现要进行登录,根据意得知是弱口令,于是使用账号admin,密码admin登录,发现登录进去了,但是不能访问,要特定地址才可以。于是浏览器挂代理,打开burp suite进行抓包。抓到数据包后,将数据包send to Repeater,数据包中添加一句话伪造ip地址X-Forwarded-For: 127.0.0.1(本地机)。然后点击GO发送,即可得到key。 另一种方法:直接...
墨者学院-IP地址伪造(1)
JimWu的博客
09-04 569
IP地址伪造(1) 难易程度:★★ 题目类型:网络安全 使用工具:FireFox浏览器、burpsuite 1.打开靶场,发现需要用户名和密码登录。 2.尝试常用的弱口令登录,最后知道用户名和密码都为admin。 但却给提示说只允许服务器上登录。 根据题目的提示,了解了环回地址。 loopback地址即是loopback接口上设置的地址,该地址用于标示设备本身。A类地址127.0.0.0被...
墨者学院 - CMS系统漏洞分析溯源(2)
多崎巡礼的博客
08-06 1403
登陆后台。 使用admin.php就可以进入后台 用户名密码都是自动填上的,直接登陆就可以。 界面->模板风格->详细列表->search->index.html->将一句话木马添加进去后保存。      ...
在线靶场-墨者-安全意识2-加解密练习(C语言)
weixin_42079912的博客
07-19 330
根据靶场提供的线索得知是将图片带入代码运行 编写代码 得到一个test.txt文件,点开文件,键盘按ctrl + F快速查询输入key,即可得到flag。将flag输入靶场网页即可得到本的key。 ...
公司靶场弱口令简单实验回顾
LIULIUAINI66的博客
03-14 576
1、rdp(远程桌面服务)、mysql(数据库) 192.168.xx.xx2、web服务(提示:有三个用户)http://192.168.xx.xx/bachang/vul/burteforce/bf_form.php要求:找到rdp、mysql、web服务的用户名和密码(三个)。
墨者学院在线靶场--网络安全
m0_59022585的博客
07-09 325
确定用户名和密码都为admin,进行登录得到提示进制登录,将插件X-Forwarded-For HeaderIP地址设置为127.0.0.1,再次登录得到key。进入超级链接,进行投票(只能投一次),使用插件X-Forwarded-For Header设置一个IP地址并进行投票,同时用Burp Suite.vbs抓包。使用Burp Suite.vbs进行爆破,再发送给服务器进行刷票(IP不足时,可以更改前几位),再次登录可以得到key。打开Burp Suite.vbs,对超级链接进行抓包。
墨者学院WebShell文件上传漏洞分析溯源(1)
最新发布
04-03
文件上传漏洞通常允许攻击者通过伪造请求或其他手段绕过安全机制,在服务器上放置恶意脚本。 在墨者学院的相关题目中提到的内容涉及多个方面,包括 MIME 类型篡改、禁用 JavaScript 绕过前端验证以及利用后缀名规避...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值