管理员系统-BugKu

1.打开题目,就让登录,刚开始猜想是暴力破解,但是我其实很讨厌暴力破解,而且一般的CTF比赛很少会出现真正的暴力破解题目,那么我们就智取吧。

2.先尝试了几个弱密码,发现不行。还被警告:IP禁止访问,请联系本地管理员登陆,IP已被记录。

管理员系统-BugKu

 

3.继续搜集信息,先看源码,一看什么也没有哇,难受,但是继续向下滑动,发现了一串base64加密的字符串:<!-- dGVzdDEyMw== -->,位置在源码页面的5023行,解密之后是test123。小本本记下,以后肯定有用的。

4.结合上面的提示,联系本地管理员,那么肯定本地的127.0.0.1登录肯定可以了,猜测账号admin,密码test123,然后利用火狐插件X-Forwarded-For Header,直接更改IP为127.0.0.1,登陆成功,得出flag。

管理员系统-BugKu

 

PS:也可以使用Burp的X-Forwarded-for:127.0.0.1,效果原理都是一样的,都是模拟IP登录。

插件Github地址:https://github.com/MisterPhilip/x-forwarded-for

插件火狐官方地址:https://addons.mozilla.org/zh-CN/firefox/addon/x-forwarded-for-injector

发表评论

电子邮件地址不会被公开。必填项已用 * 标注