F12发现隐藏链接,打开链接
”它不是来自这个链接“,所以需要修改请求头,把请求头换成这个网站
用burpsuite抓包
Refere: https://Sycsecret.buuoj.cn ( 冒号后面要加个空格,所有请求头都是这样的)
这个不能插在最后一行,否则无法响应
说需要名的Syclover浏览器
User-Agent:后是加客户端浏览器信息的,所以只需把User-Agent后面的信息改成Syclover就行了
响应包说的是要从本地访问该页面
一般会用 XFF 头,即 X-Forwarded-For 请求头,用 localhost 或 127.0.0.1 表示本地。(这个也和Referer一样不能加在最后一行)
得到flag