[极客大挑战 2019]Http
[极客大挑战 2019]Http
题目来源:buuctf
题目类型:web
涉及考点:HTTP请求头
1. 先简单介绍一下这题将要用到的几个header组成部分
| 名称 | 作用 |
|---|---|
| referer | 记录当前请求页面的来源页面的地址。比如在https://www.xxxx.com 里有一个www.baidu.com 链接,那么点击这个www.baidu.com ,它的header 信息里就有:referer=https://www.xxxx.com信息 |
| user-agent | User-Agent会告诉网站服务器,访问者是通过什么工具来请求的 |
| X-Forwarded-For | 使Web服务器获取访问用户的IP真实地址(可伪造) |
2. 题目给了一个页面,直接查看源代码
发现一个Secret.php,进去看看:
题目要求从https://Sycsecret.buuoj.cn访问,于是抓包伪造
3. burp抓包过程
- 伪造
referer:https://Sycsecret.buuoj.cn访问:
- 又说需要Syclover browser,于是修改User-Agent为
Syclover:
- 又只能从本地访问,于是伪造IP,伪造
X-Forwarded-For:127.0.0.1:
最终得到flag:
flag{d79716d5-e056-4166-a8ad-43ec55404ae9}
日期:2023.7.22
作者:y0Zero
