写点什么

[极客大挑战 2019]Http 题解

作者:w010w
  • 2022-10-24
    北京
  • 本文字数:701 字

    阅读完需:约 2 分钟

打开看起来是一个正常的宣传网站,这时候去注释里找一些提示

套路了属于是,页面里找不到东西当然要去源码和注释里找找提示咯



访问/Secret.php

这里的 herf 是链接文件的名称



这个让用 Sycsecert.buuoj.cn 这个域名访问,那就抓包改包,改动加上 referer 字段

浏览器向 web 服务器发送请求时,referer 带了链接来源信息

抓包发现没有 Referer,那就加上



这次有新提示,Please use "Syclover" browser</h1>

请求信息中使服务器识别用户浏览器的使 User Agent,所以这次修改 UA 字段,把浏览器换成它要求的



这次要 you can only read this locally!!!

本地访问(去查一下 http...)

X-Forwarded-For 用于识别客户端最原始的 IP 地址,是一个 HTTP 的请求头字段

最后 request 变成了

GET /Secret.php HTTP/1.1Host: node4.buuoj.cn:25608Cache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent:SycloverAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: closeReferer:https://Sycsecret.buuoj.cnX-Forwarded-For:127.0.0.1Content-Length: 2
复制代码



获取 flag


这道题考察 http 请求的相关内容,可以通过 burp 抓包修改发送的 http 请求满足题中的条件



这里补充一下 http 请求头相关字段:

更多的 HTTP 请求头常用字段和响应头常用字段自行搜索即可,这里不再赘述

Accept 设置接受的内容类型

Accept-Charset 设置接受的字符编码

Accept-Language 设置接受的语言

X-Forwarded-For 一个事实标准,用来标识客户端通过 HTTP 代理或者负载均衡器连接的 web 服务器的原始 IP 地址


发布于: 刚刚阅读数: 3
用户头像

w010w

关注

还未添加个人签名 2022-10-17 加入

还未添加个人简介

评论

发布
暂无评论
[极客大挑战 2019]Http 题解_Web_w010w_InfoQ写作社区