[极客大挑战 2019]Http 1

题目环境:

看起来挺花里胡哨的

F12查看源代码寻找隐藏文件

这是啥子呀,果然防不胜防

点击隐藏文件Secret.php

它不是来自这个地址的请求

报头:https://Sycsecret.buuoj.cn

需要抓包,在抓包前了解部分数据包参数

GET:到
Host:来自
User-Agent: 用户-代理
Accept: 接受
Accept-Language: 接受-语言
Accept-Encoding: 接受-编码
Connection: 连接
Upgrade-Insecure-Requests: 升级-不安全的-请求
Content-Length: 内容长度
Cache-Control: 缓存-控制
X-Forwarded-For: HTTP的请求端真实的IP
Request: 请求
Response: 响应
Referer:请求报头

burpsuite抓包

回显结果:

右键送去重放

添加Referer请求报头

请使用Syclover浏览器进行访问

修改User-Agent用户代理为Syclover浏览器

No!!! you can only read this locally!!!

不! ! ! 你只能在本地阅读! ! !

查看请求端本地的真实IP

Kali终端输命令ifconfig ,箭头后面即为真实IP

添加X-Forwarded-For请求端本地真实的IP

得到flag:
flag{a165c953-c9d8-4d9d-9ee6-39390b05d903}

相关推荐
liulilittle1 小时前
SNIProxy 轻量级匿名CDN代理架构与实现
开发语言·网络·c++·网关·架构·cdn·通信
tan77º2 小时前
【Linux网络编程】Socket - UDP
linux·服务器·网络·c++·udp
czhc11400756632 小时前
Linux 76 rsync
linux·运维·python
小白爱电脑2 小时前
光纤的最小弯曲半径是多少?
网络
蓝易云3 小时前
Qt框架中connect()方法的ConnectionType参数使用说明 点击改变文章字体大小
linux·前端·后端
花落已飘3 小时前
多线程 vs 异步
linux·网络·系统架构
PanZonghui4 小时前
Centos项目部署之Nginx部署项目
linux·nginx
G等你下课4 小时前
AJAX请求跨域问题
前端·javascript·http
码出钞能力4 小时前
linux内核模块的查看
linux·运维·服务器
星辰云-5 小时前
# Linux Centos系统硬盘分区扩容
linux·运维·centos·磁盘扩容