[极客大挑战 2019]HTTP
本次题目目的:检验小白HTTP协议是否掌握牢固
BUUCTF
靶机地址:
node4.buuoj.cn:27655
打开网页,好嘛在这里卖鞋🐶
ctrl+U 走起去查看网页源代码
发现在源码中有意思的一个语句
<a style="border:none;cursor:default;" onclick="return false" href="Secret.php">氛围</a>
秘密页面嘿嘿, 咋们学过HTML了解到
A标签的作用是跳转,我们去访问这个网页显示
访问之后说:
必须从这个https://www.Sycsecret.com
点过来的才有效
多说无益,上Burp
直接丢Burp里面抓包
访问秘密地址
GET /Secret.php/ HTTP/1.1
访问之后说:
你必须从这个https://www.Sycsecret.com
点过来的
🌸八嘎!大大滴坏!
在请求报文消息报头中加入
Referer(花姑娘🌸,我是从这里过来滴!)
Referer: https://www.Sycsecret.com
又告诉你必须要使用Syclover这个浏览器访问
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Syclover
又说必须本地打开才行
怎么样才能本地打开呢?
用到X-Forwarded-For这个扩展头
设置X-Forwarded-For: 127.0.0.1
或者X-Forwarded-For: localhost
修改完之后查看回显发现flag值
然后提交
就告一段落了
总之非常适合检验小白学习HTTP协议的能力(不是水)