BUUCTF__[极客大挑战 2019]Http_题解

最新推荐文章于 2024-05-28 14:43:33 发布
最新推荐文章于 2024-05-28 14:43:33 发布
阅读量3.9k 收藏 10
点赞数 7
分类专栏: BUU做题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TM_1024/article/details/106878361
版权

前言

  • 在35°C的夏天,停了一天的电,晚上才来电,已经ye死
  • 又是一题基础水题。

题目

  • 首先打开是挺好看的一个前端页面。介绍了一个安全技术小组。 在这里插入图片描述
  • 做题第一步,当然是F12大法。
    在这里插入图片描述
  • 于是发现Secret.php ,先访问,提示你不是来自https://www.Sycsecret.com
    在这里插入图片描述
  • 当然,题目是http ,很容易想起HTTP协议中的HTTP报文 header ,请求头和响应头。也就是有一些协议内容。
  • 比如上面提示不是来自https://www.Sycsecret.com,就可以在header中添加上 Referer:https://www.Sycsecret.com ,来伪造访问来源,Referer协议就是告诉服务器我从哪里来。所以抓包修改。
    在这里插入图片描述
  • 添加后访问,提示请使用 Syclover 浏览器,这就可以想到用User-Agent协议来伪造访问工具为 Syclover 浏览器,这个协议就是告诉服务器我是用什么访问的 .修改 User-Agent 为User-Agent: Syclover 。再次提示No!!! you can only read this locally ,你只能在本地阅读
    在这里插入图片描述
  • 只能在本地,我们可以伪造本地ip 127.0.0.1,所以我们可以利用X-Forwarded-For协议来伪造只需要在 header 添加 X-Forwarded-For:127.0.0.1,再次访问,这时得到flag
    在这里插入图片描述
  • 到这里结束,利用了伪造请求头来欺骗服务器获得flag,利用了其中的三种协议。

最后

  • 还是一篇水文,本题也没有新知识点
  • 附上题目链接
  • 持续更新BUUCTF题解,写的不是很好,欢迎指正。
  • 最后欢迎来访个人博客
风过江南乱
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
中国大学生数学建模竞赛题解_matlab
04-17
中国大学生数学建模竞赛题解_matlab
BUUCTF [极客挑战 2019]Http
weixin_53955759的博客
09-11 100
打开环境是一个小组的简介,看了一下 查看源码 找了半天才发现有Secrect.php这个可疑的地方,它藏在右边,一直没发现。 拼接地址进入 就提示我不是从https://www.Sycsecret.com这个地方进入的 那么第一个问题就是要解决如何欺骗它我们就是从https://www.Sycsecret.com进入的Secret.php 了解到有HTTP Referer伪造,这也是解决第一个问题需要用到的 下面就用到了bp拦截改referer 设置好代理,开启拦截.
BuuCTF -> WEB [极客挑战 2019] http
最新发布
wwwyydshen的博客
05-28 465
我查了一下别的大佬写的文章说这里要在下面增加一个X-Forwarded-For:127.0.0.1(我仔细的搜了一下它的意思,它是一个HTTP扩展头部,主要是为了让web服务器获取访问用户的真实IP地址,但是这个IP未必是真实的,更细致的就不再这里多做解释了感兴趣的话可以多去了解。然后我们查看网页的源代码这里我们可以右击鼠标如果你的kali是中文版的就直接能找到如果不是那你可以看到倒数第三个英文 view page source就是可以查看网页源码的,点击它!这里我进行了网址搜索结果啥也没有报错了T~T。
[极客挑战 2019]Http
qq_63548648的博客
11-28 1865
1
[极客挑战 2019]Http(啰嗦版wp)
evil_ming的博客
04-15 2348
虽然很啰嗦,但是可能真的很好懂。 我是真的c 之前遇到用burp的题全都跳过了,觉得好嗨麻烦,配置一堆东西我是真的难受。 但是好像发现要写的题都要用到burp了,就历经千辛万苦去get到手。 好不容易才把这个小框框变成粉色quq(前前后后用了快两三个小时ToT) 首先打开靶机 没什么有用的东西的样子,网页做的还挺好看,那咱就右键然后查看源代码,一直下拉到最下都没啥发现,结果发现还能右拉,发现Secret.php这个东西,那我dna可就动了啊! 输入打开新世界 这个大概意思是这个页
BUUCTF -> Web [极客挑战 2019]Http(详解)
m0_72986388的博客
09-25 1312
之后界面会显示“No!" 是一个URL,指向一个名为 "Sycsecret.buuoj.cn" 的网站或资源。这样就会得到flag之后将flag输入到靶场中这道题就完成了。User-Agent:标识发起请求的用户代理(常为浏览器)。(因为做笔记,所以重新做的,所以显示早就解出这道题了。Referer(请求头字段)表示指示请求的来源页面。所以我们要把此段的浏览器改为Syclover浏览器。"理解为一个链接地址。这样我们就得到了解决本题的有用信息。
极客挑战 2019Http
Lixunzhe0112的博客
01-17 558
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。所以直接在请求头下面加入X-Forwarde-For:127.0.0.1再发送就能获取flag。然后又提示我们需要使用Syclover的浏览器,那就是User-Agent。X-Forwarded-For这个参数可以进行代理。这里做了个referer的拦截,我们直接用bp。然后就没思路了,去查找了一下HTTP的请求头。再修改相应的内容重新发送。
[极客挑战 2019]Http1新手入门教学
weixin_66112047的博客
11-05 441
BUUCTF 类型:请求头绕过 知识点:http请求头(Referer、X-Forwarded-For、User-Agent)
acm.rar_浙江大学 ACM 题解
09-24
【标题】"acm.rar_浙江大学 ACM 题解" 涵盖的是关于浙江大学在ACM(国际大学生程序设计竞赛)方面的训练资料和解题思路。这些资源通常包括历年的竞赛题目、官方解答以及参赛者们分享的解题策略,旨在帮助学习者提升...
leetcode题解_leetcode_leetcode题解_
09-29
它涵盖了大量来自LeetCode在线编程挑战平台的题目,旨在帮助开发者提升在算法、数据结构以及问题解决能力上的技能。LeetCode题解通常包括每道题目的详细描述、解题思路、最优解法、代码实现以及可能的优化策略。 一...
大整数的因子_题解noip_源码
10-04
在编程竞赛领域,如NOIP(全国青少年信息学奥林匹克联赛),常常会遇到处理大整数问题,本题目的核心就是探讨如何找到一个大整数的所有个位数因子。在这个问题中,我们不需要进行完整的高精度运算,而是巧妙地利用低...
leetcode部分题解.rar_java_leet 程序员_leetcode
09-21
这个名为"leetcode部分题解.rar_java_leet 程序员_leetcode"的压缩包,显然是一个专门为Java程序员准备的LeetCode题目详解资源,旨在帮助他们更好地应对面试中的技术挑战。 LeetCode涵盖了从基础到高级的各种问题,...
【pwn】2022 极客挑战
woodwhale的博客
11-22 1526
2022 极客挑战 pwn题解
Header:请求头参数详解
panying1的博客
12-08 2646
Header 解释 示例 Accept 指定客户端能够接收的内容类型 Accept: text/plain, text/html,application/json Accept-Charset 浏览器可以接受的字符编码集。 Accept-Charset: iso-8859-5 Accept-Encoding 指定浏览器可以支持的web服务器返回内
2020第十一届极客挑战——Geek Challenge部分wp
monster663的博客
10-26 3995
比赛正在进行中,本来只剩web没有AK,然后出了一波新题,先留一个坑,之后再填
极客挑战2023 Web方向题解wp 全
Jay17的博客
11-28 4623
极客挑战2023 Web方向题解wp 全
[极客挑战 2019]Http1(BUCTF在线评测)
邓霖涛的博客
08-10 2523
得到flag{8d8ea9d6-86ae-4f8d-8f8e-e10d4b1bd9ef}you can only read this locally!浏览器修改不了Referer的值,换工具抓包工具(修改浏览器代理到抓包工具)搜索下看看有没有别的链接,如标签,发现有两处a标签,特别是第二处。按提示修改请求头X-Forwarded-For:localhost。鼠标右键发送到重发器修改Referer的值,测试请求。页面a标签包裹的"氛围"二字,可以点击了。F12调试该页面,跟踪该get网络请求。......
[极客挑战 2019]Http1 个人思路
qq_62859013的博客
05-11 583
[极客挑战 2019]Http1 小白解题
BUUCTF-Web-网络协议-[极客挑战 2019]Http
weixin_42566218的博客
03-30 7985
BUUCTF-Web-网络协议-[极客挑战 2019]Http 题目链接:BUUCTF 类型:请求头绕过 知识点:http请求头(Referer、X-Forwarded-For、User-Agent) 解题过程 单从网页看是发现不了什么隐藏内容的,通过F12打开控制台直接搜索关键字"php"发现一个超链接文件"Secret.php",因为"onclick=return flase"所以从网页中直接点击是无法跳转的 手动访问"Secret.php“页面后提示”It doesn't come fr
"复变函数题解_2019秋 学生总结"。
复平面上三个相异且不共线的点z1, z2, z3构成一个三角形∆z1z2z3。我们要求出这个三角形的外接圆圆心z0的坐标,并证明当且仅当z0 = z1+z2+z3时,∆z1z2z3为正三角形,并求出外接圆的半径r。 根据外心的定义,外接圆...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值