buu-[极客大挑战2019]http

http

靶场地址:http://node4.buuoj.cn:26371/

image-20211123170417482

打开之后是三叶草团队的招新网页

开启bp拦截后,可以发现了一个特殊文件Secret.php

image-20211123170634129

访问一下试试

image-20211123171052403

要求从https://Sycsecret.buuoj.cn访问,修改referer=https://Sycsecret.buuoj.cn

得到以下信息

image-20211123171410782

由此可知需要修改user-agent,将其修改为Syclover,再次访问

image-20211123171635175

要求进行本地访问,XFF了解一下,修改X-Forwarded-For127.0.0.1,再次访问

成功得到flag

image-20211123171900394

flag为flag{dab4ffe4-64fb-42cc-90b2-a5f2404ad43f}

posted @ 2021-11-25 19:17  sherlson  阅读(19)  评论(0编辑  收藏  举报