BUUCTF Web HTTP

打开网站，查看源代码 

发现Secret.php 

 

它说不是从https://Sycsecret.buuoj.cn访问的不可以

我们直接用BP抓包，送到重发器，添加referer 

因为

【网络基础】HTTP协议 | 狼组安全团队公开知识库 (wgpsec.org)

 

重发后显示要使用Syclover浏览器来访问

因为

 

 所以我们直接在UA后面添加Syclover，重发后发现显示只能在本地访问

 伪造本地IP访问，获得Flag 

注意：伪造不能放在尾部，只能在中间，不然是不行的