BUUCTF[极客大挑战 2019]Http

三七吃山漆2026-04-02 8:39

打开题目只有一个界面

目录扫描发现扫不出东西

查看源代码查看有无注释或链接

发现有一个secret.php

跳转后提示我们要用dns为https://Sycsecret.buuoj.cn来访问

dns伪造:

在headers处伪造referer头

抓包添加referer头

随后又提醒我们要用Syclover浏览器来访问

浏览器伪造:

在headers处伪造UA头(user-agent)

修改UA头

随后又提醒我们要用本地登录(127.0.0.1)

ip伪造:

在headers处伪造x-forwarded-for或x-real-ip

修改ip

flag出来了

flag{6841dca9-392c-4bef-ab86-b9d4e19ee18b}

相关推荐
程序猿编码20 小时前
给Linux程序穿“隐身衣”——ELF运行时加密器全解析(C/C++代码实现)
linux·c语言·c++·网络安全·elf·内存安全
一名优秀的码农20 小时前
vulhub系列-74-Hackable III(超详细)
安全·web安全·网络安全·网络攻击模型·安全威胁分析
PinTrust SSL证书1 天前
Sectigo(Comodo)企业型OV通配符SSL
网络·网络协议·网络安全·小程序·https·ssl
一只鼠标猴1 天前
甲方安全运营:漏洞整改推动实操指南
运维·安全·网络安全·安全架构·安全运营·漏洞整改
tryqaaa_1 天前
学习日志(一)【含markdown语法,Linux学习】
linux·运维·学习·web安全·web·markdown
Suckerbin1 天前
vulnyx-Debug靶场渗透
安全·web安全·网络安全
介一安全1 天前
Web缓存漏洞扫描器WCVS:原理、实战与操作指南
测试工具·web安全·安全性测试
藤原千花的败北1 天前
PHP对象注入(PHP反序列化漏洞)
网络安全·php
Suckerbin1 天前
vulnyx-Memory靶场渗透
web安全·网络安全
酿情师1 天前
记第一次打春秋云境-Initial 靶场(没打完,记录一下,不是WP!!!)
服务器·网络安全
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点032026年4月AI大事件深度解读:大模型竞争进入“深水区“04近期有什么ai的新消息,新动态? 2026.4月052026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free06AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析07CC-Switch & Claude 基于 Linux 服务器安装使用指南08从限购到畅通:GLM-5.1 Coding Plan接入攻略09Claude Code Windows 兼容性问题:指定版本 2.1.112 可解决10UBUNTU Claude Code 报错 claude native binary not installed