CTF练习题[WEB]-本地管理员

已于 2022-02-21 10:40:36 修改
阅读量4k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF练习题 文章标签: 网络安全
于 2021-10-11 13:07:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45246254/article/details/120699751
博客内容涉及一个CTF挑战,作者在尝试登录时遇到IP被禁止的问题。通过抓包分析,作者发现请求包中有注释信息,并了解到需要添加特定的HTTP头`X-FORWARDED-FOR`和`Referer`字段,同时伪造本地IP地址以绕过限制。成功执行这一操作后,作者成功登录并获取到flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

BugkuCTF-WEB本地管理员
am_03的博客
08-25 2024
基础知识: base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一类基于64个可打印字符来表示二进制数据的方法。 XFF伪造请求头: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原本的IP地址的HTTP请求头字段。 简单来说,XXF是告诉服务器当前请求者的最后ip的http请求头字段,通常可以直接通过修改http头里的X-Forwarded-For字段来仿造请求的最后ip。 打开场景: 为一个登录界面 尝试输
CTF学习笔记——[HCTF 2018]admin
Obs_cure的博客
02-15 2923
一、[HCTF 2018]admin 1.题目 2.解题步骤 这个靶场还是很完整的,注册登陆一应俱全,还有留言板。注册和登陆部分尝试了一下,大部分我认知中的注入都被过滤了。于是老老实实注册了个账号。发现里面有个留言板。这不就是师傅们经常攻击的地方吗~ 随便注入的两下没什么反应,看看源码呢~ 嗯?这个注释? 虽然能猜到这个是网站的源码,但由于没有网页的开发经验,所以很遗憾还是没看出什么门道~看WriteUp! 说实话看完之后有点被震撼到。跟着师傅们把三种做法都过一遍~ 这道题的突破口首先是github
Bugku CTF-web12本地管理员
weixin_44023403的博客
04-25 1837
Bugku CTF-web12本地管理员知识积累解题 知识积累 base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法。 XFF伪造请求头: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 简单来说,XXF是告诉服务器当前请求者的最终ip的http请求头字段,通常可以直接通过修改http头中的X-Forwarded-For字段来仿
渗透测试中新手必练的15个靶场,(非常详细)零基础入门到精通,收藏这篇就够了
最新发布
Libra1313的博客
06-19 1080
相信很多小伙伴们在学习渗透测试的时候,不知道如何开始,那么这下面15个靶场对你的学习将会有很大的帮助!
蓝鲸ctf writeup 本地登录
朝歌
05-13 6484
题目地址:http://39.107.92.230/web/web3/index.php点开链接,可以发现如下图所示。打开burpsuite抓包。然后伪造ip地址提交过去。加上:X-Forwarded-For: 127.0.0.1又发现,显示不是管理员,从下图中我们可以看见,cookie:Set-Cookie: isadmin=0我们尝试着把0改成1。我们得到flag。...
NSSCTFweb题目记录
wanan的博客
10-06 383
NSSCTFweb题目记录
CTF|BugkuCTF-WEB解题思路
这里是一处长期不更新的博客
06-15 2215
截止至练习题【login4】,仅提供解题思路。 WEB2 按F12直接可得flag 计算器: 直接按F12,将maxlength修改,输入正确结果即可得到flag web基础$_GET URL输入:http://123.206.87.240:8002/get/?what=flag web基础$_POST 使用hackbar工具,按F12,打开Post data,传递what=flag。 矛盾 这里是使用is_numeric遇到%00截断的漏洞,这里构造 http://120.24.86.145:8002.
BugKuCTF WEB
让我再浪一会 的博客
11-24 1031
文章目录BugKuCTF WEB一、web2二、计算器三、web基础$_GET四、web基础$_POST五、矛盾六、web3七、域名解析八、你必须让他停下九、变量1十、web5十一、头等舱十二、网站被黑十三、管理员系统十四、web4十五、flag在index里十六、输入密码查看flag BugKuCTF WEB 平台地址 一、web2 进入网页,查看源代码,在其中找到flag 二、计算器 进入网页,根据题目可得知需要输入运算结果,但限制了输入的数字的个数,查看网页的JS代码,将 maxlength =
渗透测试练习题解析 5(CTF web
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
04-01 1319
所以要实现劫持就要时我们上传的恶意程序先执行。环境变量。
BugkuCTF练习题解——Web
qq_41739275的博客
08-24 7043
文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站被黑14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯 1.Web2 打开链接之后是滑稽笑脸,好家伙,吓我一跳,还以为是大bug,然后也没有提示啥的 感觉有点无从下手???别急,打开页面源代码(检查元素也可)瞅瞅 注释部分就是flag了。 2.
CTFd-master: roseosy CTF平台部署与实战练习
资源摘要信息:"CTFd是一种用于搭建Capture The Flag(CTF)比赛的平台,它允许比赛组织者创建不同类型的挑战,如密码学、逆向工程、取证分析和Web安全等。CTFd的设计目的是为了简化CTF比赛的举办流程,使组织者能够...
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
ctf 选择题 题库_实验吧CTF题库-WEB题(部分)
weixin_39613548的博客
12-19 1321
看起来有点难提交adminhttp://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin&pass=admin&action=login用sqlmap检测是否有注入┌─[root@sch01ar]─[/sch01ar]└──╼ #sqlmap -u "http://ctf5.shiyanbar.com/basic/injec...
CTFshow——RealWorldCTF渗透赛第二期·复现
chongya927的博客
03-12 808
RealWorldCTF渗透赛第二期·个人复现
BugkuCTF管理员系统(IP禁止访问)
Sandra_93的博客
10-22 3782
IP禁止访问问题: 之前做一道题时,进入robots.txt,发现要访问/console,然后F12 在网络处编辑和重发消息头,发送后响应有flag, 在头部里加一个字段:X-forwarded-for 伪造一个源ip, X-forwarded-for :127.0.0.1 上面这部分是一次比赛的记录,找不到题目,随便看看算了 管理员系统: 又是IP禁止访问的问题,想到了在伪造源IP: 首先查看...
request.getHeader("X-Forwarded-For")总是返回127.0.0.1
johnhuster的专栏
04-21 4320
request.getHeader("X-Forwarded-For")总是返回127.0.0.1
记录一下使用nginx转发请求,后端获取的ip都是127.0.0.1解决方法
鱿鱼的博客
03-31 7221
问题 项目访问使用nginx做反向代理,打印日志时所有的请求ip都变成了127.0.0.1 解决办法 ##1.nginx.conf 配置文件修改 location / {    proxy_pass http://127.0.0.1:10678;    proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_a...
ctfWEB练习三
渗透测试研究中心
12-15 4000
题目名称:Simple_SSTI_2题目wirteup:启动题目场景,获得靶场网站,访问网站,页面显示url连接需要连接一个 flag参数http://114.67.246.176:19131/根据题目内容,该题是一个ssti漏洞,这里构造ssti,参数构造flag={{3+2}},报错,且是flaskhttp://114.67.246.176:19131/?flag={{3+2}}又尝试构造f...
CTF-信息收集篇
weixin_44770698的博客
06-22 3305
ctfshow-web信息收集部分WP
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值