打开题目
直接查看源码
看到一个./flag.php
访问一下
购买者的ip已经被记录,本地可以看到flag,那么使用xff或者client-ip伪造一下ip试试
bp抓包
加一个X-Forwarded-For头
得到flag
相关推荐
网络研究院6 小时前
Android 安卓内存安全漏洞数量大幅下降的原因l1x1n012 小时前
No.2 笔记 | 网络安全攻防:PC、CS工具与移动应用分析醉颜凉13 小时前
银河麒麟桌面操作系统V10 SP1:取消安装应用的安全授权认证小小工匠17 小时前
Web安全 - 路径穿越(Path Traversal)不灭锦鲤20 小时前
ssrf学习(ctfhub靶场)网络研究院1 天前
如何安全地大规模部署 GenAI 应用程序DonciSacer1 天前
TryHackMe 第6天 | Web Fundamentals (一)云卓科技1 天前
无人机之数据提取篇山兔11 天前
工控安全防护机制与技术HEX9CF1 天前
【CTF Web】Pikachu xss之href输出 Writeup(GET请求+反射型XSS+javascript:伪协议绕过)