一.题目内容
靶场:http://165.227.106.113/header.php
访问:
显示的内容看上去很熟悉,感觉和请求头内容相识,并且根据题目标题:Don't Bump Your Head(er) 所以推测和请求头相关
我的打靶机器配置是windows 10所以发现了这个应该是属于请求头的User-Agent
所以推测这题是UA伪造。
解题一
明确往UA构造这个方向去解题,但是不知道具体需要伪造啥样所以还得在看一下有没有信息
------看一下源代码。
发现一个可以的注释,把他作为伪造的UA内容试一下
内容改变了,所以这个方向对了
内容显示:
解题二
这边很明显是提示请求来源需要改成:awesomesauce.com
对于请求头来说决定来源的是:Referer
所以这边考核的第二个点是来源伪造
同样使用burpsuite进行拦截改包
得到flag:
