1.题目分析
启动靶机,打开网页是某个安全团队的招新宣传网页,查看源代码
发现一个php文件,点进去看
显示不是来自这个地址,结合题目推测这题考察http请求报文,用BurpSuite对这个网页进行抓包
2.BP抓包
查看左边的响应可知我们要让服务器知道我们发送的请求来自它指定的地址,需要伪造请求
3.构造报文
在请求中加入Referer,响应中显示要使用Syclover浏览器,我们需要修改User-Agent,让服务器认为我们的请求是使用的Syclover浏览器
从响应中知道让我们从本地访问,本地访问一般有两种,一个是X-Forwarded-For,一种是X-Real-IP,写题的时候哪种能用就用哪种,这题要用前者
这样就得到flag了