Http(burpsuite改包操作)
进入题目通览全部页面,没有可疑点,按照惯例先看源码。开始看源码,开始比较粗心,啥都没看到,后来发现原来在这
然后有两种做法,一种直接在url里面输入就好了,一种是注意属性οnclick=“return false”,所以这时点击是无效的,那我们手动改成true就可以了。注意这里改只改了用户自己的界面,刷新或者其他人登录是无效的。此时点击“氛围”就可以跳转了。
显示
很明显,是想要我们抓包修改来源。这里先引用csdn上另一个博客的解说图
所以,这个的绕过就是加一个Referer字段即可,burpsuite如下:
又要求浏览器,接着改User-Agent
还要求本地访问,那再加一个X-Forwarded-For
获取flag
总结下来就是:
- 要求从某个页面访问,修改Referer
- 要求使用特定浏览器访问,修改User-Agant
- 要求从特定IP访问,修改X-Forwarded-For,或者client-ip
- 要求从特定国家访问,修改Accept-Language