虽然很啰嗦,但是可能真的很好懂。
我是真的c
之前遇到用burp的题全都跳过了,觉得好嗨麻烦,配置一堆东西我是真的难受。
但是好像发现要写的题都要用到burp了,就历经千辛万苦去get到手。
好不容易才把这个小框框变成粉色quq(前前后后用了快两三个小时ToT)
首先打开靶机
没什么有用的东西的样子,网页做的还挺好看,那咱就右键然后查看源代码,一直下拉到最下都没啥发现,结果发现还能右拉,发现Secret.php这个东西,那我dna可就动了啊!
输入打开新世界
这个大概意思是这个页面需要来自于https://Sycsecret.buuoj.cn 这个网址,我先试了下f12在网络那里尝试编辑重发,但是好像不能得到我想要的结果,那就不情不愿地打开burp,用foxyproxy改了下代理(同学推荐的真的好用!)改了代理之后需要再刷新一下页面才能在burp抓到包,我之前一直不知道所以瞎忙活好久
因为是在csdn上找的破解版,所以是中文,但是真的用起来很不爽。
点行动然后发送到重发器,添加Referer:https://Sycsecret.buuoj.cn(不知道是不是必须要大写,我好累不想试了)。
这个意思是让我们用syclover这个浏览器来打开,那我们就把user-agent里面的内容给全选删除然后输入 syclover
这个是让我们从本地阅读,看到本地那肯定会联想到127.0.0.1,但是要怎么去让他从本地阅读呢,我们需要X-Forwarded-For:127.0.0.1
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。
于是成功得到flag!
over.