[极客大挑战 2019]Http
打开靶机之后看到动态页面什么信息也得不到,那么就只能试着查看源码了
通过查看源码看到有一个Secret,php文件,点击查看该页面
提示告诉我们无法直接通过这个地址直接得到我们想要的东西,那就用bp进行该网址大抓包,添加referer,并加上网页地址(Referer:HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理),之后发送请求得到
看到提示让在Syclover浏览器中查询,那将User-Agent改为Syclover(User-Agent是HTTP 请求报文中的 User-Agent 请求头是一个用来 标识发送请求的客户端的字符串。用来 帮助服务器识别请求的来源。)
看到提示,意思是flag需要我们在本地进行查询
X-Forwarded-For 用于表示经过代理服务器或负载均衡器的 HTTP 流量的原始 IP 地址
本地回环地址(Loopback Address)是计算机网络中的一个 特殊 IP 地址,通常 127.0.0.1
最终得到flag.