欢迎光临散文网 会员登陆 & 注册

BUU-Web-[BJDCTF 2nd]假猪套天下第一

2021-04-20 02:08 作者:雨落雪辰  | 我要投稿

依旧还是老三样,访问,抓包,分析源文件

尝试使用admin进行登陆,好家伙给我直接返回了

接着随便试了下就登陆成功了

然后就是简单对源代码进行查看,发现了敏感字符文件

然后我们访问这个敏感文件

当我们访问后,发现开始时间在99年后

我们对时间进行微处理,在后面*1000倍即可

继续显示问题

我们继续对payload继续修改,我们尝试使用XFF(X-Fwarded-For)继续对源iP对伪造

发现对于XFF有过滤,这个时候我们就应该尝试更换伪造IP请求头,以下请求头均可使用

  • x-forwarded-fot 

  • x-remote-IP 

  • x-originating-IP 

  • x-remote-ip 

  • x-remote-addr

  • x-client-IP

  • x-client-ip 

  • x-Real-ip

右侧箭头表示我们获取对嘻嘻

看样子我们还需要更改我们的来源地址为【gem-love.com】


右侧提醒我们需要添加

我们直接将User-Age 带入继续测试

右侧提醒我们commmodo 64应该继续一定程度修改

在百度上搜索commmodo 64查得应改为 Commodcore 64

右下角箭头又让我们添加邮箱

更改为

我们得知需要使用Via的代理服务器

直接在头文件里添加Via

获得通过base64加密的值,

最后我们使用base64解密即可


标签:

BUU-Web-[BJDCTF 2nd]假猪套天下第一的评论 (共 条)

分享到微博请遵守国家法律