本地管理员WEB 未解决

分数: 15 金币: 2
题目作者: harry
一  血: dotast
一血奖励: 1金币
解  决: 19214
提  示:
描  述:
本地管理员
评论
Taer 5年前

可以用burp插件burpFakeIP伪造IP

回复 0

王曦之啊 5年前

要两个条件同时满足才能得到flag,既要账号密码正确,又要伪造报头,真的有点难,问题是爆破的时候,明明字典含有正确账号,就是得不到,有没有高手能指点一下?

回复 0
Rick 5年前

密码其实不用爆破,题目源码中有一段注释,看起来是base64编码,只要解码一下就是密码

回复 1

NNNN 5年前

做这个题也挺费劲的,主要事我菜吧,之前试了无数遍的bp用xff修改ip,但都没又出现flag,原因也未知,看了评论区的大佬清一色的直接出来了,也看到有大佬说把什么for去掉,但很可惜我没找到。网络上的教程也都是这么说的,但我这里都没出flag。后来我直接在max hackbar上面post输入name和pass转到bp里结果就出了,很是奇怪,为什么我也不知的,但总算是做出来了。

回复 0
littleneng 3年前

我按他们说的方法也是出不来结果。你说的:后来我直接在max hackbar上面post输入name和pass转到bp里结果就出了,这个是怎么操作的?

回复 0

cjlovefree 5年前

当时X-Forwarded-For , reffer ,orgin都考虑了,嘿嘿

回复 0

balabala 5年前

user=admin&pass=test123 X-Forwarded-For:127.0.0.1 bp中都已经加上了,为什么还是出不来flag,有哪位大神给指点一下

回复 4
littleneng 3年前

@Nuxm 我空了空格也不行的

回复 0

littleneng 3年前

@beifu 原来代码里面本身就没有自带的for那个东西啊,本身没有怎么删除呢?

回复 0

Nuxm 5年前

xff头双引号后面还要一个空格

回复 0

beifu 5年前

你还要删除原来自带的for那个东西

回复 0

麦林炮手 5年前

随便输入账号密码进行登陆发现无法登陆,IP被禁止,利用x-forward for修改IP, 最下面字符串 base63解码得到test123 用户名admin test 123 修改post请求(在burpsuite)

回复 0
DarLing02 5年前

老哥,base64

回复 4

RenCvn 5年前

啊这 我一直以为test123是用户名 爆破了半天

回复 0

Peng 5年前

学到了

回复 0

hydra5205 5年前

为什么我用python requests 给header添加X-Forwarded-For: 127.0.0.1没有用啊

回复 0
lyy000 5年前

然后再输一遍用户名密码

回复 0

zl810 5年前

X-Forwarded-For: 127.0.0.1

回复 0

WriteUp

image
harry

2 金币

评分(27)

解题动态

Zechariah 攻破了该题 5小时前
ZY1111 攻破了该题 16小时前
Chen_ 攻破了该题 16小时前
giao123456 攻破了该题 16小时前
Wiceh 攻破了该题 16小时前
chechill 攻破了该题 16小时前
memory33 攻破了该题 17小时前
嘟噜嘟噜 攻破了该题 17小时前
xuxu222 攻破了该题 17小时前
NIKO_Y 攻破了该题 18小时前
小白很666 攻破了该题 18小时前
hold on 攻破了该题 18小时前
咖啡豆 攻破了该题 18小时前
adminS612 攻破了该题 18小时前
东方月初z2 攻破了该题 22小时前
plutozy 攻破了该题 22小时前
LucienJJ 攻破了该题 22小时前
LeeeKa1 攻破了该题 22小时前
jamfre3 攻破了该题 22小时前
plumdragon 攻破了该题 22小时前
问题反馈