[SWPUCTF 2021 新生赛]Do_you_know_http(User-Agent和X-Forwarded-For)

已于 2024-07-09 17:23:03 修改
阅读量182 收藏
点赞数 3
文章标签: http 网络协议 网络
于 2024-07-07 17:33:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84499442/article/details/140249129
版权

首先,网页提示我们用WLLM浏览器,那么这里我们就应该想到抓包,然后修改里面的User-Agent参数

关于User-Agent

然后送到repeater里面,方便我们重复操作,修改UA伪WLLM,

那么我们就进入a.php里面

看到这里,我们就应该想到修改IP为本地IP,那么这里要了解一个知识点:X-Forwarded-For

这里应该就是我们发送的包被拦截,然后显示的那个IP是某个代理的IP,这里我们添加自己的IP

访问那个php文件

得到flag

小吕要加油
关注
Docker部署SonarQube代码质量检查平台+PostgreSQL数据库
万物皆可学
06-13 1040
指定拉取postgres11版本,不要postgres:latest,因为你部署sonarqube最新版本配置的时候会发现支持的版本是11,拉取最新版本会报错。配置如下,你也可以先启动一个无挂载的sonarqube用docker cp 把配置复制出来再干掉启动的sonarqube。检查代码的时候,仓库或者本地的代码会全部存储到postgresql数据里中,所以容量尽量大点,我这给个300G。运行postgres11并挂载存储目录,映射端口,同步宿主机时间,这里用户、密码、数据库都叫sonar。
【安全牛学习笔记】​XSS- 键盘记录器和反射型XSS
edu_aqniu的博客
09-30 1094
XSS                         Keylogger.js  document.onkeypress = function(evt){      evt = evt || window.event     key = String.fromCharCode(evt.charCode)     if(key){         var htt
2021 SWUP新生 wp
XikX_eleven的博客
10-12 1986
2021 SWUP新生 wpWebgift_F12caidao Web gift_F12 如题所示f12找到flag caidao 蚁剑连接(中国菜刀连接可能会显示没有root权限) 根目录flag
NSSCTF | [SWPUCTF 2021 新生]Do_you_know_http
2302_80946742的博客
05-13 501
点击发送,可以看到success,关键的是Location后面的./a.php,说明浏览器已经跳转到了另一个页面。(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。也就是说,我们需要借助X-Forwaeded-For来伪装我们的IP为127.0.0.1。然后点击发送,可以看到这里的Location已经变成了./secretttt.php。我们可以将GET后面的/hello.php更换为a.php看看这个页面里的东西。在Host的下面添加。
User-Agent
最新发布
weixin_63490470的博客
08-13 251
User-Agent是一个HTTP请求头部,它包含了关于客户端(通常是用户的Web浏览器)的信息。这个头部有助于服务器了解客户端的类型和版本,以便服务器可以提供适当的响应。以下是关于User-Agent
[SWPUCTF 2021 新生]Do_you_know_http
2301_80358831的博客
04-26 322
[SWPUCTF 2021 新生]Do_you_know_http 题目详解 主要是对burp suit 工具的使用
k8s http/https nginx ingress (by quqi99)
技术并艺术着
11-05 3521
作者:张华 发表于:2019-11-05 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (https://zhhuabj.blog.csdn.net) Client与nginx-ingress之间可以配置https,此时nginx-ignress与backends仍然可以配置http, ssl termination, ssl passthrough三种模...
Nginx容器动态流量管理方案-nginx-upsync-module+nginx_upstream_check_module初体验
热门推荐
Skycrab
10-12 1万+
缘起最近一直在研究日志收集系统的框架,之前在线游戏的数据发送都是由游戏服务器发送的,我来之前一直是rsync传输,也还算稳定。但现在上了单机游戏,只能由手机客户端直接发送,dau比较高,最近很火的<<贪吃蛇>>在海外上线,一个星期dau已经达到千万级别。初步方案,lvs做4层负载均衡,下挂nginx做7层转发,数据直接入kafaka。一直不太喜欢通过reload修改nginx upstream,刚好
2021-01-05 openstack 之零 安装全过程 现代虚拟化 - 记录实体服务器安装
yuezhilangniao的博客
01-05 443
记录实体服务器安装 openstack 过程 (感谢强哥): 一 安装centos7.4 并做优化 ( yum.repo.d 下 只保留 local.repo 文件) # 制作centos7.4-1708 镜像 # 见本目录视频 # 一 安装系统 # 1 开始安装装作系统 install 界面按tab键输入: net-ifnames=0 boisdevname=0 # 2 设置network IP langviage seppot 选择支持英文+中文 minimal+选择前三个软件 ...
user-agent
01-28
包含4513条PC端 user-agent,可用于爬虫;浏览器包含有chrome、ie6及以上、firefox、Opera、safari、edge
[SWPUCTF 2021 新生] Do_you_know_http
m0_74759151的博客
05-01 389
[SWPUCTF 2021 新生] Do_you_know_http
[SWPUCTF 2021]Do_you_know_http
wyxlsm的博客
02-22 308
这里意思是需要我用本机地址才可以访问 我们这个时候模拟是从本机电脑上去访问这个了浏览器。得出secretttt.php文件 继续访问文件 得出flag值。意思让我们用wllm 浏览器访问它 我们可以burp工具去修改。然后去访问它这个文件。
CTF 全讲解:[SWPUCTF 2021 新生]Do_you_know_http
两个月亮
10-07 1749
HTTP 请求报文中的 User-Agent 请求头是一个用来 标识发送请求的客户端(通常是浏览器或其他网络应用程序)的字符串。这个字符串通常包含了客户端的应用程序名称、版本号、操作系统信息和一些其他相关的信息,用来 帮助服务器识别请求的来源。User-Agent 请求头的 主要目的 是为了让服务器能够根据客户端的不同特性来适配响应内容,以提供更好的用户体验。
CTF 全讲解:[SWPUCTF 2021 新生]Do_you_know_http(1)
m0_60635609的博客
04-05 835
HTTP 请求报文中的User-Agent请求头是一个用来。这个字符串通常包含了客户端的应用程序名称、版本号、操作系统信息和一些其他相关的信息,用来。User-Agent 请求头的主要目的是为了让服务器能够根据客户端的不同特性来适配响应内容,以提供更好的用户体验。User-Agent 请求头的示例如下:Win64;Web开发人员和服务器管理员通常使用 User-Agent 请求头来识别客户端的类型和版本,以确保网站或应用程序能够提供适当的内容或功能。但需要注意的是,
CTF 全讲解:[SWPUCTF 2021 新生]Do_you_know_http,34岁网络安全程序员裸辞
m0_60635609的博客
04-05 831
因此,在安全性要求较高的情况下,应该使用其他方式来验证客户端的身份。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;含义
06-09
)的含义是将客户端请求中的X-Forwarded-For头信息和代理服务器的IP地址添加到转发请求的X-Forwarded-For头中。 其中,$proxy_add_x_forwarded_for表示将客户端请求中的X-Forwarded-For头信息和代理服务器的IP地址...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值