首先看提示:xff和referer是可以被伪造的,看来是要伪造请求头
打开环境,显示ip必须为123.123.123.123。既然已经提示了伪造xff,那就是验证xff了。
burp抓包,右键send to repeater,在请求头中添加X-Forwarded-For:123.123.123.123,放包。
发现提示必须来自https://www.google.com,那在请求头再添加Referer: https://www.google.com,则出现flag
关于xff和referer:
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到WEB服务器的客户端最原始的IP地址的HTTP请求头字段。(可显示不经过代理的原始IP)
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。