[极客大挑战 2019]Http

合集 - CTF wp(15)

1.BUU BRUTE 12024-11-092.BUU LFI COURSE 12024-11-093.BUU BURP COURSE 12024-11-094.HTTP 协议学习笔记2024-11-145.BUU CODE REVIEW 12024-11-146.[HCTF 2018]WarmUp2024-11-15

7.[极客大挑战 2019]Http2024-11-21

8.[极客大挑战 2019]PHP2024-11-249.easyre2024-11-2510.reverse12024-11-2511.reverse22024-11-2512.内涵的软件2024-11-2513.[极客大挑战 2019]Havefun2024-12-0114.BUU SQL COURSE 101-1915.BUU SQL COURSE 201-20

收起

[极客大挑战 2019]Http

[极客大挑战 2019]Http

给了一个网页，先瞅一眼源代码，找到一个 Secret.php 文件，尝试访问，提示 It doesn't come from 'https://Sycsecret.buuoj.cn'。

用 bp 抓包，Referer:https://Sycsecret.buuoj.cn 伪造来源。

重发请求，发现要求从 Syclover 浏览器访问。修改 User-Agent 头，伪造浏览器。

重发请求后提示要求本地访问，增加 X-Forwarded-For:127.0.0.1 伪造本地访问。

得到 flag{3daffd11-8bc4-4c2e-9b65-b543f55d1d80}