BugkuCTF-WEB-管理員系統
- 開啟題目隨便輸入了一下,發現IP禁止訪問了,所以打算F12看看有啥貓膩 - -
這麼長的滾動條,肯定有貓膩拖下去瞅瞅有啥提示點,發現一處提示的地方,得到一串base64加密
解密得到test123,嘗試一下user:admin,pass:text123,結果還是不行,仍然提示 “IP禁止訪問,請聯絡本地管理員登陸,IP已被記錄.”
- 遂想能不能偽裝成本地管理員進行登陸,在這裡進行偽裝本地登入
OK,最終得到flag,大功告成,雖然這道題目不是很難,猜解user和pass的時候需要發揮一些腦洞,需要多觀察一些地方,這道題考察的地方應該主要是通過新增修改X-Forwarded-For : 127.0.0.1 來進行偽裝本地登入
相關推薦
BugkuCTF-WEB-管理員系統
開啟題目隨便輸入了一下,發現IP禁止訪問了,所以打算F12看看有啥貓膩 - - 這麼長的滾動條,肯定有貓膩拖下去瞅瞅有啥提示點,發現一處提示的地方,得到一串base64加密 解密得到test
bugku web 管理員系統
明顯 for 一個 com 發現 做了 flag jpg 自己 頁面是一個登陸表單,需要賬號密碼,首先f12查看源代碼,發現有一段可疑的註釋,明顯是base64,解碼得到test123,似乎是一個類似於密碼的東西,既然是管理員,就猜測用戶名是admin,填上去試一下哇 看
摘記:Web應用系統測試內容
目標 最小化 ica 界面 電子郵件 描述 郵件 時間 運行 表示層: 內容測試,包括整體審美、字體、色彩、拼寫、內容準確性和默認值 Web站點結構,包括無效的鏈接或圖形 用戶環境,包括Web瀏覽器版本和操作系統配置(
BugkuCTF web基礎$_GET
nbsp 分享圖片 mage 代碼 com image web get UC 打開網址 根據代碼,需要用 get 的方法,獲取 BugkuCTF web基礎$_GET
手把手教你部署WEB郵件系統Squirrelmail小松鼠(內附源碼包)
.gz fff usr oss 通訊 mua 文件 ins login 簡介 Web郵件系統指的是提供給用戶發信、收信的網頁操作界面,能夠完成和MUA軟件類似的郵件管理、通訊簿等附加功能,同時Web郵件系統依賴於已有的收信、發信服務器,但不需要用戶預先配置郵箱屬性,因此使用
noVNC構建web桌面系統
實現方法: 1.在Ubuntu中搭建guacamole (1) OS環境:最新版Ubuntu 16.04 (2) guacamole架構:guacamole包含兩個部分,guacamole-client和guacamole-server。結構如圖,其中guacd就是guacamol
一般Web單元系統的分析流程和思路
一。Web 專案的思路 二。驗證流程: 我們來使用打點方式,驗證如上圖流程: 選擇一個專案: 在上圖中的邏輯步驟中打上斷點, 如下圖: 按照一般的web 流程先執行1 呼叫2,2 呼叫3 ,最後返回結果檢視。 spring 注入: 如下為驗證:
Bugku - 管理員系統
檢視網頁原始碼 在網頁原始碼中除最後一行註釋程式碼外,沒有什麼其它值得特別注意的程式碼 dGVzdDEyMw== 很明顯是Base64編碼格式,解碼: test123 登入 使用者名稱admin 密碼test123 根據返回提示
BugkuCTF –WEB-備份是個好習慣(備份原始碼洩露+md5漏洞)
先開啟題目看一下 題目剛開始給了一串md5值 嘗試先去解密一下 空密碼??題目名字叫做備份是個好習慣。掃一下網站目錄,瞅瞅有沒有備份的檔案啥的 發現了一個.bak檔案,估計是index.php備份的原始碼,下載下來看一下 附上有關備份檔案的知識:備份檔案
BugkuCTF-WEB-WEB4
看看原始碼就看看原始碼,擷取重要的一部分程式碼,這裡都進行url編碼了,進行解碼 var p1 = '%66%75%6e%63%74%69%6f%6e%20%63%68%65%63%6b%53%75%62%6d%69%74%28%29%
BugkuCTF-WEB-網站被黑
開啟題目,發現這個黑頁挺炫酷的- - 解題思路: 開啟連結是一個黑頁,連結後面加index.php判斷是PHP,而題目提示實戰中經常遇到,那就開御劍掃描後臺吧 掃描出shell.php,開啟連結是一個webshell,嘗試admin等弱密碼無效後 &n
BugkuCTF-WEB-WEB5
開啟題目後提示jspfuck 應該和jsfuck有關 jsfuck編碼是由8個:< > + – . , [ ]字元組成。 js指令碼,直接firefox--->F12--->consol 複製進去,輸出 so檢視原始碼 得到一大堆[]()組合
BugkuCTF-WEB-變數1
題目提示flag In the variable !-------flag在變數中 其中preg_match正則表示式的 意思是,匹配字串,\w表示字元+數字+下劃線, *代表有若干個\w字元組成。如果不匹配會輸出 ‘’args error!‘’ 那麼結合兩者,可
BugkuCTF-WEB-本地包含
題目提示,需要將flag.php包含進去才可以得到flag 百度了一下$_REQUEST函式,發現易存在sql漏洞和變數漏洞覆蓋 第二句話要獲得hello的值,由於hello為’hello’,所以無論在url欄中對hello賦任何值,都會全盤接受,其中var_dump()是將變數a列印
BugkuCTF-WEB-WEB3
介面有點不盡 的彈窗,應該是使用了大量的alert語句,直接檢視網頁原始碼 得到Unicode編碼 KEY{J2sa4
BugkuCTF-Web-Web2
第一步還是常規操作,開啟題目,點開連結,檢視網頁,但是。。。開啟網頁之後,嚇了我一跳,這是啥玩意兒~ 滿屏的滑稽笑臉……咳咳,冷靜,冷靜,不能砸電腦。。。 帶著不能平靜的內心按下F12檢視網頁原始碼,哇。。原始碼好多,讓我好好看看,咦……在註釋中竟然發現了一個flag??!!
【軟考】——軟體工程基礎知識(Web應用系統分析與設計)
WebApp的特性 WebApp屬性???——》網路密集性、併發性、無法預知的負載量、效能、可用性、資料驅動; web應用系統分析的模型型別???——》 內容模型???——》給出由Web應
八、新tars服務,安裝web管理系統
效果圖 標題安裝web管理系統 1、 管理系統原始碼目錄名稱為web 修改配置檔案,將配置檔案中的ip地址修改為本機ip地址,如下: cd /home/py/tarspackage/Tars/web sed -i 's/db.tars.com/${your_machi
bugku 管理員系統
檢視原始碼 發現註釋<-- dGVzdDEyMw== --> ,base64解碼得到test123 , 猜這個是密碼 嘗試輸入 結果得到“IP禁止訪問,請聯絡本地管理員登陸,IP已被記錄. ”。根據這個提示,利用X-Forwarded-For來偽造成
BugkuCTF web:web基礎$_POST; 矛盾
web基礎$_POST php程式碼是: $what=$_POST['what']; echo $what; if($what=='flag') echo 'flag{****}'; 用postman傳送一個post請求,body裡的引數是KEY=what V