BUUCTF[极客大挑战 2019]Http

最新推荐文章于 2024-05-28 14:43:33 发布
最新推荐文章于 2024-05-28 14:43:33 发布
阅读量721 收藏 3
点赞数 28
文章标签: http 网络协议 网络 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_78972359/article/details/138391306
版权
1.题目分析

启动靶机,打开网页是某个安全团队的招新宣传网页,查看源代码

发现一个php文件,点进去看

显示不是来自这个地址,结合题目推测这题考察http请求报文,用BurpSuite对这个网页进行抓包

2.BP抓包

查看左边的响应可知我们要让服务器知道我们发送的请求来自它指定的地址,需要伪造请求

3.构造报文

在请求中加入Referer,响应中显示要使用Syclover浏览器,我们需要修改User-Agent,让服务器认为我们的请求是使用的Syclover浏览器

从响应中知道让我们从本地访问,本地访问一般有两种,一个是X-Forwarded-For,一种是X-Real-IP,写题的时候哪种能用就用哪种,这题要用前者

这样就得到flag了

我要当web糕手
关注
  • 28
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Header:请求头参数详解
panying1的博客
12-08 2702
Header 解释 示例 Accept 指定客户端能够接收的内容类型 Accept: text/plain, text/html,application/json Accept-Charset 浏览器可以接受的字符编码集。 Accept-Charset: iso-8859-5 Accept-Encoding 指定浏览器可以支持的web服务器返回内
BUUCTF [极客挑战 2019]Http
weixin_53955759的博客
09-11 114
打开环境是一个小组的简介,看了一下 查看源码 找了半天才发现有Secrect.php这个可疑的地方,它藏在右边,一直没发现。 拼接地址进入 就提示我不是从https://www.Sycsecret.com这个地方进入的 那么第一个问题就是要解决如何欺骗它我们就是从https://www.Sycsecret.com进入的Secret.php 了解到有HTTP Referer伪造,这也是解决第一个问题需要用到的 下面就用到了bp拦截改referer 设置好代理,开启拦截.
BUUCTF http
borrrrring的博客
10-04 1770
打开网站我们可以看到 翻完网页发现没有什么有用的信息 查看源代码 我们发现这里有一个连接指向Secret.php 我们打开这个网站看看 根据题目提示这个题是与http协议有关的 我们先进行抓包 根据图片页面提示 我们要求这个是从www.Sycsecret.com这个页面访问的,所以我们在页面中添加referer信息,运行得到 根据返回信息,我们可以看到需要更换浏览器 需要从本地访问即X-Forwarded-For:127.0.0.1 得到flag ps: http协议 要求从某个IP或者主机
BUUCTF -> Web [极客挑战 2019]Http(详解)
m0_72986388的博客
09-25 1470
之后界面会显示“No!" 是一个URL,指向一个名为 "Sycsecret.buuoj.cn" 的网站或资源。这样就会得到flag之后将flag输入到靶场中这道题就完成了。User-Agent:标识发起请求的用户代理(常为浏览器)。(因为做笔记,所以重新做的,所以显示早就解出这道题了。Referer(请求头字段)表示指示请求的来源页面。所以我们要把此段的浏览器改为Syclover浏览器。"理解为一个链接地址。这样我们就得到了解决本题的有用信息。
BuuCTF -> WEB [极客挑战 2019] http
最新发布
wwwyydshen的博客
05-28 484
我查了一下别的大佬写的文章说这里要在下面增加一个X-Forwarded-For:127.0.0.1(我仔细的搜了一下它的意思,它是一个HTTP扩展头部,主要是为了让web服务器获取访问用户的真实IP地址,但是这个IP未必是真实的,更细致的就不再这里多做解释了感兴趣的话可以多去了解。然后我们查看网页的源代码这里我们可以右击鼠标如果你的kali是中文版的就直接能找到如果不是那你可以看到倒数第三个英文 view page source就是可以查看网页源码的,点击它!这里我进行了网址搜索结果啥也没有报错了T~T。
X-Forwarded-For 学习
weixin_43460822的博客
09-17 892
** 定义 ** X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 ** 格式编辑 ** 这一HTTP头一般格式如下: X-Forwarded-For: client1, proxy1, proxy2, proxy3 其中的值通过一个 逗号+空格 把多个IP地址区分开, 最左边(client1)是最原始...
Buuctf Http
Dexret的博客
12-07 2343
打开该靶机,发现该靶机为一个普通的页面 查看一下该网页的源码 发现有一个Secret.php的网页,打开该网页 这里提示我们需要从https://Sycsecret.buuoj.cn去访问该网页 利用Burpsuite对该网页进行抓包,添加referer值 Referer:https://Sycsecret.buuoj.cn 添加完referer值后发现,又需要我们通过Syclover浏览器去访问该网页 修改User-Agent值 User-Agent:Syclover ..
[BUUCTF][极客挑战 2019]Http
朋克归零膏的博客
10-13 699
在CTF中修改http头的操作常有BUUCFT另一题,常用到的值User-AgentReferer。
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“极客摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典,旨在庆祝三诺集团的周年纪念,并促进北海市高新产业园及其相关企业的交流与合作。活动的...
ISCC2019个人挑战赛题目练习
05-05
【ISCC2019个人挑战赛题目练习】是一次针对网络安全技术的竞赛,旨在提升参赛者在信息安全领域的技能和实战经验。此类挑战通常涵盖多种技术领域,包括但不限于密码学、漏洞分析、网络嗅探、逆向工程、Web安全以及...
天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
01-28
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,...天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
极客学院JAVA视频教程 新版 7大部分
08-08
Java语言视频教程 极客学院JAVA视频教程 新版 7大部分
BUUCTF-Web-网络协议-[极客挑战 2019]Http
weixin_42566218的博客
03-30 8028
BUUCTF-Web-网络协议-[极客挑战 2019]Http 题目链接:BUUCTF 类型:请求头绕过 知识点:http请求头(Referer、X-Forwarded-For、User-Agent) 解题过程 单从网页看是发现不了什么隐藏内容的,通过F12打开控制台直接搜索关键字"php"发现一个超链接文件"Secret.php",因为"onclick=return flase"所以从网页中直接点击是无法跳转的 手动访问"Secret.php“页面后提示”It doesn't come fr
buuctf [极客挑战 2019]Http 个人解题思路
2301_76899943的博客
05-14 261
locally提示我们需要本地访问,那么根据所学的知识和以往的经验,容易联想到使用XFF(X-Forwarded-For)请求修改客户端的原始ip,本地IP也就是127.0.0.1。而且,在网站的页面中这个链接也是无法直接点开的,更加令人怀疑是否是解题的关键。本题整体感觉下来是考察有关计算机网络的知识,具体来说是http协议中用户所发送的请求包中,各种请求头的含义的相关知识。源代码中大部分都是一些文件的超链接,点开大致观察了一下,代码离了大谱的多,猜测应该是纯代码,没有隐藏信息。那么打开hackbar。
BUUCTF_[极客挑战 2019]Http解题思路
时光不老的博客
01-10 464
[极客挑战 2019]Http
BUUCTF -> Web [极客挑战 2019]Http抓包改包
m0_74940843的博客
09-23 109
翻译一下说不是来着https://www.Sycsecret.com 这个时候就要用上RefererReferer:是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。X-Forwarded-For:是用于记录代理信息的,每经过一级代理(匿名代理除外),代理服务器都会把这次请求的来源IP追加在X-Forwarded-For中并且用逗号分隔。添加User-Agent 之后又提示No!
buuctf 极客挑战2019php
08-24
buuctf 极客挑战2019php是指buuctf举办的一个PHP编程比赛,它是基于阿里云IoT技术平台的创新挑战赛。在该比赛中,参赛者需要利用PHP编写代码解决一系列技术难题。这些问题可能涉及到序列化、反序列化、变量值的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值