[极客大挑战 2019]Http(啰嗦版wp)

已于 2022-04-15 23:47:50 修改
阅读量2.3k 收藏 7
点赞数 2
文章标签: 经验分享
于 2022-04-15 23:40:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/evil_ming/article/details/124206131
版权

虽然很啰嗦,但是可能真的很好懂。

我是真的c

之前遇到用burp的题全都跳过了,觉得好嗨麻烦,配置一堆东西我是真的难受。

但是好像发现要写的题都要用到burp了,就历经千辛万苦去get到手。

好不容易才把这个小框框变成粉色quq(前前后后用了快两三个小时ToT)

首先打开靶机

没什么有用的东西的样子,网页做的还挺好看,那咱就右键然后查看源代码,一直下拉到最下都没啥发现,结果发现还能右拉,发现Secret.php这个东西,那我dna可就动了啊!

输入打开新世界

这个大概意思是这个页面需要来自于https://Sycsecret.buuoj.cn 这个网址,我先试了下f12在网络那里尝试编辑重发,但是好像不能得到我想要的结果,那就不情不愿地打开burp,用foxyproxy改了下代理(同学推荐的真的好用!)改了代理之后需要再刷新一下页面才能在burp抓到包,我之前一直不知道所以瞎忙活好久

因为是在csdn上找的破解版,所以是中文,但是真的用起来很不爽。

点行动然后发送到重发器,添加Referer:https://Sycsecret.buuoj.cn(不知道是不是必须要大写,我好累不想试了)。

这个意思是让我们用syclover这个浏览器来打开,那我们就把user-agent里面的内容给全选删除然后输入 syclover

这个是让我们从本地阅读,看到本地那肯定会联想到127.0.0.1,但是要怎么去让他从本地阅读呢,我们需要X-Forwarded-For:127.0.0.1 

X-Forwarded-ForXFF)是用来识别通过HTTP代理负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

于是成功得到flag!

over.

evil_ming
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
BUUCTF -> Web [极客挑战 2019]Http(详解)
m0_72986388的博客
09-25 937
之后界面会显示“No!" 是一个URL,指向一个名为 "Sycsecret.buuoj.cn" 的网站或资源。这样就会得到flag之后将flag输入到靶场中这道题就完成了。User-Agent:标识发起请求的用户代理(常为浏览器)。(因为做笔记,所以重新做的,所以显示早就解出这道题了。Referer(请求头字段)表示指示请求的来源页面。所以我们要把此段的浏览器改为Syclover浏览器。"理解为一个链接地址。这样我们就得到了解决本题的有用信息。
BUUCTF__[极客挑战 2019]Http_题解
风过江南乱的博客
06-21 3611
前言 在35°C的夏天,停了一天的电,晚上才来电,已经ye死 又是一题基础水题。 题目 首先打开是挺好看的一个前端页面。介绍了一个安全技术小组。 做题第一步,当然是F12大法。 于是发现Secret.php ,先访问,提示你不是来自https://www.Sycsecret.com 当然,题目是httphttp有一个知识点就是HTTP报文 header ,有请求头和响应头。也就是一些协议内容。 ...
buuctf-web-[极客挑战 2019]Http
weixin_46079186的博客
07-01 435
打开题目 题目http,应该是请求相关的,打开burp抓包,发现一个Secret.php文件 进入Secret.php文件 翻译一下说不是来着https://www.Sycsecret.com 这个时候就要用上RefererReferer:是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。传入参数 Referer: https://www.Sycsecret.com` ..
[极客挑战 2019]Http(BUUCTF)
HackerYY的博客
02-07 287
极客挑战水题 用到抓包和欺骗服务器 内附解题过程
[极客挑战 2019]Http
qq_63548648的博客
11-28 1685
1
极客挑战 2019Http
Lixunzhe0112的博客
01-17 521
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。所以直接在请求头下面加入X-Forwarde-For:127.0.0.1再发送就能获取flag。然后又提示我们需要使用Syclover的浏览器,那就是User-Agent。X-Forwarded-For这个参数可以进行代理。这里做了个referer的拦截,我们直接用bp。然后就没思路了,去查找了一下HTTP的请求头。再修改相应的内容重新发送。
[极客挑战 2019]Http1新手入门教学
weixin_66112047的博客
11-05 344
BUUCTF 类型:请求头绕过 知识点:http请求头(Referer、X-Forwarded-For、User-Agent)
Header:请求头参数详解
panying1的博客
12-08 2447
Header 解释 示例 Accept 指定客户端能够接收的内容类型 Accept: text/plain, text/html,application/json Accept-Charset 浏览器可以接受的字符编码集。 Accept-Charset: iso-8859-5 Accept-Encoding 指定浏览器可以支持的web服务器返回内
BUUCTF-Web-网络协议-[极客挑战 2019]Http
weixin_42566218的博客
03-30 7861
BUUCTF-Web-网络协议-[极客挑战 2019]Http 题目链接:BUUCTF 类型:请求头绕过 知识点:http请求头(Referer、X-Forwarded-For、User-Agent) 解题过程 单从网页看是发现不了什么隐藏内容的,通过F12打开控制台直接搜索关键字"php"发现一个超链接文件"Secret.php",因为"onclick=return flase"所以从网页中直接点击是无法跳转的 手动访问"Secret.php“页面后提示”It doesn't come fr
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
2019年三诺集团四周年庆典极客摇滚跑活动方案
极客谷杯WP1
08-03
极客谷杯WP1
tensorflow官方文档最新译文(极客)中英
03-05
最全的tensorflow官方文档的翻译本,方便查阅各种API详细解释与例子。方便学习tensorflow。
极客学院JAVA视频教程 新 7大部分
08-08
Java语言视频教程 极客学院JAVA视频教程 新 7大部分
备考数通HCIE证书4点经验分享
qq2859066538的博客
04-26 558
记得有一次,在做无线局域网AP上线实验时,发现我的AP迟迟不能上线,于是就开始一步步排错,先检查AP设备有没有分配到IP地址,接着去查一下我的capwab隧道有没有配置,同时在每台设备上都查询有没有放行管理VLAN,然后再检查VAP模板时发现了问题,VLAN的转发模式默认的直接转发,应该设置为隧道转发,修改完后,AP就正常上线了。赵老师是一位厉害的老师,在ICT行业里有很多年的工作经验,讲课既有趣又严谨,能够把那些本来抽象难懂的知识点,讲得明白易懂,尤其适合像我这样刚开始什么也不懂的小白。
node-v9.6.0-x86.msi
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Python基于机器学习的分布式系统故障诊断系统源代码,分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别
04-29
基于技术手段(包括但不限于机器学习、深度学习等技术)对分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别,实现分布式系统故障运维的智能化,快速恢复故障的同时大大降低分布式系统运维工作的难度,减少运维对人力资源的消耗。在分布式系统中某个节点发生故障时,故障会沿着分布式系统的拓扑结构进行传播,造成自身节点及其邻接节点相关的KPI指标和发生大量日志异常
JavaScript前端开发的核心语言前端开发的核心语言
最新发布
04-29
javascript 当今互联网时代,JavaScript已经成为了前端开发的核心语言它是一种高级程序设计语言,通常用于网页的交互和动态效果的实现。JavaScript的灵活性以及广泛的使用使得它变得异常重要,能够为用户带来更好的用户体验。 JavaScript的特点之一是它的轻量级,它可以在网页中运行无需单独的编译或下载。这意味着网页可以更快地加载并且用户无需安装额外的软件才能运行网页上的JavaScript代码。此外,与HTML和CSS紧密结合,可以直接在HTML文档中嵌入,使得网页的开发变得非常便捷。 JavaScript具有动态性,它可以在浏览器中实时修改页面内容和样。它可以通过操作DOM(文档对象模型来动态地修改网页的结构和布局,并且可以根据用户的行为实时地响应各种事件,如点击、标悬停、滚动等。这使得开发者可以轻松地为网页添加交互性和动态效果,提供更好的用户体验。 JavaScript也是一种面向对象的语言。它支持对象、类、继承、多态等面向对象编程的概念,使得代码结构更加清晰和可维护。开发者可以创建自定义的对象和方法,对功能进行封装和复用,提高代码的可读性和可维护性。
四则运算自动生成程序安装包
04-29
四则运算自动生成程序安装包
[极客挑战 2019]Http 1
08-12
回答: 在HTTP协议中,HTTP 1.0和HTTP 1.1是两个不同的本。HTTP 1.0支持客户端和服务器之间的简单请求和响应模型,它使用一个单独的连接来处理每个请求。而HTTP 1.1引入了持久连接,允许多个请求和响应通过同一个连接传输,减少了连接的建立和关闭的开销。此外,HTTP 1.1还引入了更多的请求方法和头部字段,增强了协议的灵活性和可扩展性。<span class="em">1</span><span class="em">2</span> #### 引用[.reference_title] - *1* [buuctf [极客挑战 2019]Http1](https://blog.csdn.net/weixin_61060664/article/details/127837044)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [[极客挑战 2019]Http1解题思路](https://blog.csdn.net/Megumiwind/article/details/119512387)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值