[极客大挑战 2019]Http 题解
打开看起来是一个正常的宣传网站,这时候去注释里找一些提示
套路了属于是,页面里找不到东西当然要去源码和注释里找找提示咯
访问/Secret.php
这里的 herf 是链接文件的名称
这个让用 Sycsecert.buuoj.cn 这个域名访问,那就抓包改包,改动加上 referer 字段
浏览器向 web 服务器发送请求时,referer 带了链接来源信息
抓包发现没有 Referer,那就加上
这次有新提示,Please use "Syclover" browser</h1>
请求信息中使服务器识别用户浏览器的使 User Agent,所以这次修改 UA 字段,把浏览器换成它要求的
这次要 you can only read this locally!!!
本地访问(去查一下 http...)
X-Forwarded-For 用于识别客户端最原始的 IP 地址,是一个 HTTP 的请求头字段
最后 request 变成了
获取 flag
这道题考察 http 请求的相关内容,可以通过 burp 抓包修改发送的 http 请求满足题中的条件
这里补充一下 http 请求头相关字段:
更多的 HTTP 请求头常用字段和响应头常用字段自行搜索即可,这里不再赘述
Accept 设置接受的内容类型
Accept-Charset 设置接受的字符编码
Accept-Language 设置接受的语言
X-Forwarded-For 一个事实标准,用来标识客户端通过 HTTP 代理或者负载均衡器连接的 web 服务器的原始 IP 地址
版权声明: 本文为 InfoQ 作者【w010w】的原创文章。
原文链接:【http://xie.infoq.cn/article/5235ecd348a52e91604dbc956】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论