[极客大挑战 2019]Http

最新推荐文章于 2023-12-16 20:42:40 发布
最新推荐文章于 2023-12-16 20:42:40 发布
阅读量84 收藏
点赞数
分类专栏: # Web安全 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Do1phln/article/details/126702299
版权
该博客讲述了如何通过特定URL(https://Sycsecret.buuoj.cn)、设置Referer、User-Agent以及x-Forwarded-For头来访问一个仅限本地的网页,从而揭示隐藏的flag内容。这一过程涉及到网络请求的细节和限制条件。
摘要由CSDN通过智能技术生成

打开网页查看内容

要求必须用https://Sycsecret.buuoj.cn访问,因此传入bp,加上Referer:https://Sycsecret.buuoj.cn再次请求

还需要浏览器标识为Syclover,因此再加上User-Agent: Syclover

提示只能从本地访问,那么还需要再加上x-Forwarded-For:127.0.0.1,终于显示了flag,题目得解

Do1phln
关注
专栏目录
[BUUCTF][极客挑战 2019]Http
朋克归零膏的博客
10-13 731
在CTF中修改http头的操作常有BUUCFT另一题,常用到的值User-AgentReferer。
极客挑战 2019Http
Lixunzhe0112的博客
01-17 597
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。所以直接在请求头下面加入X-Forwarde-For:127.0.0.1再发送就能获取flag。然后又提示我们需要使用Syclover的浏览器,那就是User-Agent。X-Forwarded-For这个参数可以进行代理。这里做了个referer的拦截,我们直接用bp。然后就没思路了,去查找了一下HTTP的请求头。再修改相应的内容重新发送。
极客挑战 2019Http
4pri1
02-05 154
[极客挑战 2019]Http 在页面源代码中找到线索 进入后,这是要改referer的,可以用hackbar,也可以用bp,我选择了后者 设置好代理,开启拦截,刷新,sent to repeater,关闭拦截 加一个referer referer:https://www.Sycsecret.com 【注意报文行末加回车!!!】否则就是这样 看接下来提示,换浏览器 把报文的这个改成Syclover browser ..
BUUCTF WEB 极客挑战 2019 Http
Ethan552525的博客
08-04 829
题目: 解题: 1:查看网页源代码 浏览页面,没有发现有用信息,查看源代码发现:Secret.php 2:尝试访问/Secret.php HTTP Referer Http Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器借此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我...
[极客挑战 2019]FinalSQL
末初的CSDN博客
09-26 471
字段中(内容比较长,等待时间需要久一点,因为BUU发包太快会直接ban掉,就加个。测起来有点感觉过滤很奇怪。
BUUCTF -> Web [极客挑战 2019]Http(详解)
m0_72986388的博客
09-25 1674
之后界面会显示“No!" 是一个URL,指向一个名为 "Sycsecret.buuoj.cn" 的网站或资源。这样就会得到flag之后将flag输入到靶场中这道题就完成了。User-Agent:标识发起请求的用户代理(常为浏览器)。(因为做笔记,所以重新做的,所以显示早就解出这道题了。Referer(请求头字段)表示指示请求的来源页面。所以我们要把此段的浏览器改为Syclover浏览器。"理解为一个链接地址。这样我们就得到了解决本题的有用信息。
[极客挑战 2019]Http1 解题思路
weixin_61970418的博客
12-16 726
又跳出提示,Please use"Syclover" browser,意思是需要使用Syclover这个浏览器,需要修改的字段为User-Agent。添加参数X-Forwarded-For:127.0.0.1,127.0.0.1就是本地访问的默认地址,发送后,flag就出来了。访问后出现如下界面,提示未从https://Sycsecret.buuoj.cn网站访问,直接burp抓包。修改UA头为Syclover后,再次提交,提示必须从本地访问。打开靶场后,有如下三个页面,浏览后没有任何功能点和输入点。
[极客挑战 2019]Http1 题解
The_YSZL的博客
04-29 452
进而对源浏览器的相关参数进行修改,即将User-Agent修改为"Syclover" browser。得到进一步提示,进而修改访问访问源地址,添加X-Forwarder-For参数,其值可以为127.0.0.1,代表从本地访问。添加Referer,写入刚刚页面要求的访问请求源:https://Sycsecret.buuoj.cn.得到如下网页,提示已经很明显了,通过BP来修改请求头中的内容,就可以得到对应的响应。在源代码中发现有Sercret.php的存在,访问。最后即可得出flag。
[极客挑战 2019]Http1解题思路
Megumiwind的博客
08-08 4261
1.打开Burp suite输入靶机的网址进行抓包,并把抓到的包发送到repeater(重发器)当中 在重发器中先点击发送查看一下结果的网页源代码。 在源码当中发现在一个html语句,并且是a标签的跳转语句,而跳转的地点是secret.php <a style="border:none;cursor:default;" onclick="return false" href="Secret.php">氛围</a> 2.既然是秘密页面,我们当然要进去看一下到底是.
极客挑战2019http(改包)和BUU BRUTE 1 (爆破)
m0_73770225的博客
11-27 1082
极客挑战2019http(改包)和BUU BRUTE 1 (爆破)
BUUCTF[极客挑战 2019]Http1
qq_35874748的博客
10-18 504
打开题目后: 首先F12找线索,果然发现了一个名为Secret.php的文件,打开它
BUUCTF系列 // [极客挑战 2019] Http
qq_45805420的博客
09-25 1544
前言 本题知识点:常用 HTTP 请求头 WP 打开题目,在页面中没有发现明显的提示,查看网页源码,经搜索后发现一个似乎存在猫腻的网页 ‘Secret.php’ 访问该页面,得到第一个提示 题目要求我们从 ‘https://www.Sycsecret.com’ 进入该页面,故使用 burpsuite 抓包,在请求头中增加 Referer 字段即可 Referer HTTP Referer是 header 的一部分,当浏览器向 Web 服务器发送请求的时候,一般会带上 Referer,告诉服务器该网页是从
[极客挑战 2019]EasySQL1
lljiuhkhk的博客
07-20 2559
CTF,sql注入,web渗透,安全入门
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8482
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
前端初始化资源包初始化前端
10-01
.....................
vmware ubuntu22.04安装教程.docx
最新发布
10-01
vmware ubuntu22.04安装教程
语音处理相关的代码------matlab实现_______________开箱即用_soundProcess.zip
10-01
语音处理相关的代码------matlab实现_______________开箱即用_soundProcess
numpy-2.1.1-cp313-cp313t-macosx-14-0-x86-64.whl
10-01
numpy
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值