[极客大挑战 2019]Http 1

题目环境:

看起来挺花里胡哨的

F12查看源代码寻找隐藏文件

这是啥子呀,果然防不胜防

点击隐藏文件Secret.php

它不是来自这个地址的请求

报头:https://Sycsecret.buuoj.cn

需要抓包,在抓包前了解部分数据包参数

GET:到
Host:来自
User-Agent: 用户-代理
Accept: 接受
Accept-Language: 接受-语言
Accept-Encoding: 接受-编码
Connection: 连接
Upgrade-Insecure-Requests: 升级-不安全的-请求
Content-Length: 内容长度
Cache-Control: 缓存-控制
X-Forwarded-For: HTTP的请求端真实的IP
Request: 请求
Response: 响应
Referer:请求报头

burpsuite抓包

回显结果:

右键送去重放

添加Referer请求报头

请使用Syclover浏览器进行访问

修改User-Agent用户代理为Syclover浏览器

No!!! you can only read this locally!!!

不! ! ! 你只能在本地阅读! ! !

查看请求端本地的真实IP

Kali终端输命令ifconfig ,箭头后面即为真实IP

添加X-Forwarded-For请求端本地真实的IP

得到flag:
flag{a165c953-c9d8-4d9d-9ee6-39390b05d903}

相关推荐
程序员JerrySUN1 分钟前
Linux内核驱动开发核心问题全解
linux·运维·驱动开发
范纹杉想快点毕业18 分钟前
Zynq SOC FPGA嵌入式裸机设计和开发教程自学笔记:硬件编程原理、基于SDK库函数编程、软件固化
网络·笔记·stm32·单片机·嵌入式硬件·tcp/ip·fpga开发
wha the fuck4041 小时前
攻防世界-引导-Web_php_unserialize
安全·web安全·网络安全·php
Joey_Chen2 小时前
【What · Why · How】浅析select/poll/epoll与IO多路复用
linux·服务器
“αβ”2 小时前
线程安全的单例模式
linux·服务器·开发语言·c++·单例模式·操作系统·vim
zc-code3 小时前
HTTP性能优化实战:从协议到工具的全面加速指南
网络·网络协议·http·缓存·性能优化·html
gnawkhhkwang3 小时前
clock_nanosleep系统调用及示例
linux
Misnice3 小时前
Mac查看本机ip地址
网络协议·tcp/ip·macos
破碎的南瓜3 小时前
OSPF笔记
网络·笔记·智能路由器
渡我白衣3 小时前
综合:日志的实现
linux