Bugku-CTF之管理员系统+程序员本地网站

Day12

 

 

管理员系统

http://123.206.31.85:1003/
flag格式flag{}
Bugku-CTF之管理员系统+程序员本地网站_第1张图片

 

 
本题要点:伪造请求头
 
解释一下伪造请求头~
X-Forwarded-For:
简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP。
请求头格式:X-Forwarded-For:client, proxy1, proxy2 client 即客户端真实ip,后两项是代理ip,可缺省,最终在服务端接收前都会被补齐。
 
 
首先我们看到这种用户名密码登录的样式,第一步就是随便输入,submit
 
 
接着右键查看源码
发现什么也没有,但是,滚动条暴露下面还有东西啊,哈哈哈
果然被发现了,base64去解密
 
这个应该是密码了~
管理员系统,猜想用户名为admin
所以用户名为admin,密码为test123
因为信息提示 请联系本地管理员登陆
(这里就用到了伪造请求头,即伪造成本地管理员127.0.0.1)
 
好了,我们现在抓包看一下
 
 
发送至repeater并在header中add 增添一对键值对: X-Forwarded-For : 127.0.0.1 伪装成本地访问。
 
 
Go一下~
 
得到flag~~最后就是注意格式哦~~
 
 
完成!
 
 
 
 
 
 
 
 

 

同类型的一道题目~~

 

程序员本地网站

http://123.206.87.240:8002/localhost/
请从本地访问
 
 
Bugku-CTF之管理员系统+程序员本地网站_第2张图片

 

 
完成!
 
 

转载于:https://www.cnblogs.com/0yst3r-2046/p/10740655.html

你可能感兴趣的:(Bugku-CTF之管理员系统+程序员本地网站)