DASBOOK刷题随笔

DASBOOK

1、第一章[极客大挑战 2019]Http

• 浏览页面，没有发现什么可以利用的，查看页面源码，发现了一个链接

  

• 访问上面发现的链接，页面给出不是从该链接跳转过来的

  

• 修改报头，加上referer字段，响应的页面说User-Agent要使用Syclover

  

• 接着修改报头，修改User-Agent，给出的信息说只能在本地阅读

  

• 使用X-Forwarded-For:127.0.0.1协议来伪造本地状态

  X-Forwarded-For（XFF）请求标头是一个事实上的用于标识通过代理服务器连接到 web 服务器的客户端的原始 IP 地址的标头。

  

2、[1.4.7 案例解析]BUU BURP COURSE 1

"X-Real-IP"是一个自定义的HTTP请求头，通常在代理服务器和负载均衡器等网络设备中使用。它用于告诉后端服务器实际客户端的IP地址，而不是代理服务器的IP地址。

• 访问时显示只能从本地访问，此时添加在请求头中添加X-Real-IP

  

• 此时会到一个登录页面，账号密码会自动填充，但是在浏览器中直接点登录的话，还是会跳转到只能从本地访问的页面，在登录页面继续抓包修改报头