BUUCTF[极客大挑战 2019]Http

三七吃山漆2026-04-02 8:39

打开题目只有一个界面

目录扫描发现扫不出东西

查看源代码查看有无注释或链接

发现有一个secret.php

跳转后提示我们要用dns为https://Sycsecret.buuoj.cn来访问

dns伪造:

在headers处伪造referer头

抓包添加referer头

随后又提醒我们要用Syclover浏览器来访问

浏览器伪造:

在headers处伪造UA头(user-agent)

修改UA头

随后又提醒我们要用本地登录(127.0.0.1)

ip伪造:

在headers处伪造x-forwarded-for或x-real-ip

修改ip

flag出来了

flag{6841dca9-392c-4bef-ab86-b9d4e19ee18b}

相关推荐
RrEeSsEeTt2 小时前
【HackTheBox】- BoardLight 靶机学习
linux·学习·网络安全·渗透测试·kali·红队·hackthebox
以太浮标2 小时前
华为eNSP模拟器 - 设备及技术栈场景全维度解析
运维·网络·网络协议·网络安全·华为·负载均衡·信息与通信
сокол2 小时前
【网安-Web渗透测试-内网渗透】内网代理和隧道技术
windows·web安全·系统安全
上海云盾-小余3 小时前
业务频繁卡顿丢包?如何精准区分网络延迟、线路故障与 CC 攻击
网络·安全·web安全
还是做不到嘛\.14 小时前
Dvwa靶场-SQL Injection (Blind)-基于sqlmap
数据库·sql·web安全
One_Blanks14 小时前
WIndows x64 ShellCode开发 第三章 x64汇编细节点
汇编·windows·网络安全·渗透测试·红队技术
菩提小狗14 小时前
每日安全情报报告 · 2026-03-31
网络安全·漏洞·cve·安全情报·每日安全
One_Blanks15 小时前
WIndows ShellCode开发 第四章 动态API调用
windows·网络安全·渗透测试
智算菩萨17 小时前
【论文精读】通过元学习与关联规则挖掘增强人工智能在网络安全领域特征选择中的可解释性
论文阅读·人工智能·学习·web安全·论文笔记
热门推荐
012026年3月AI领域大事件:DeepSeek引领开源风暴02GitHub 镜像站点03Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05围棋-html版本06让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南07“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)08UV安装并设置国内源09AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南10纯 HTML/CSS/JS 实现的高颜值登录页,还会眨眼睛!少女心爆棚!