题目链接:https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]Http
题目??
本小白初次写buu.oj上的题,内心:真的要好好学英语了,不然连题都看懂啊╯︿╰
图中豌豆绿框框起来的就是题目链接,进去之后我一开始什么都没有发现,以为只是个简单的招新页面,交了钱来打广告的OTZ,看了大佬的题解,大吃一惊
点击Secret.php跳转到新的html页面,可以看见It doesn‘t come from ‘https://www.Sycsecret.com‘,说明此页面要从https://www.Sycsecret.com进入
回到初始html源代码页面,打开浏览器端的代理,打开BurpSuite拦截功能,回到浏览器点击Secret.php,打开BurpSuite可以看到拦截到的数据包,点击Action按钮选择send to Repeater
先点击上方send,右侧出现一个类html源代码界面可以看见It doesn‘t come from ‘https://www.Sycsecret.com‘
在左侧Headers里添加Referer告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。
点击add键,添加
Referer https://www.Sycsecret.com
右面将出现Please use "Syclover" browser
在User-Agent那一栏的内容里添加Syclover浏览器
Syclover
继续访问,得到No!!! you can only read this locally!!!
要伪造IP,在headers里面add
X-Forwarded-For 127.0.0.1//或者localhost
得到flag
原文:https://www.cnblogs.com/Gezelligheid/p/12489061.html