BUUCTF -> Web [极客大挑战 2019]Http(详解)

已于 2023-09-26 09:06:50 修改
阅读量1.1k 收藏 12
点赞数
文章标签: 前端 http android
于 2023-09-25 19:50:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72986388/article/details/133279262
版权

通过做题来熟悉burp的使用

  1. 抓包改包

BUUCTF -> Web [极客大挑战 2019]Http

  1. 点击->启动靶机->复制相关内容在新页面打开

  1. 进入这个页面后,我们并不会知道信息所以尝试去查看源代码来试图获取有用信息。->右击查看页面源代码

  1. 通过访问源代码,我们会发现这样一段信息。(大致浏览源代码,除此外得不到有用信息)

  1. 解读<a style="border:none;cursor:default;" οnclick="return false" href="Secret.php">

<a>标签是HTML中用于创建超链接的元素。所以我们可以把"Secret.php"理解为一个链接地址。这个超链接指向名为"Secret.php"的文件或资源。而onclick是点击事件的意思。

它被设置为return false,这说明点击该链接时,不会执行任何操作。

这样我们就得到了解决本题的有用信息。

  1. 手动访问/Secret.php,会出现这样一个界面

"https://Sycsecret.buuoj.cn" 是一个URL,指向一个名为 "Sycsecret.buuoj.cn" 的网站或资源。即提示要增加Referer值为https://Sycsecret.buuoj.cn

Referer(请求头字段)表示指示请求的来源页面。

It doesn’t come from我们可以添加使它变成do。

  1. 利用burp suite抓取这个页面的数据包。

添加Referer:https://https://Sycsecret.buuoj.cn,然后点击发送。

  1. 点击页面渲染。显示界面为Please use "Syclover" browser,表示请使用Syclover浏览器。 即需要增加User-Agent。

       User-Agent:标识发起请求的用户代理(常为浏览器)。

所以我们要把此段的浏览器改为Syclover浏览器。

之后界面会显示“No!!! you can only read this locally!!!”表示你只能本地访问的意思。

   表示要增加X-Forwarded-For:127.0.0.1

  1. 增加X-Forwarded-For:127.0.0.1。

        这样就会得到flag之后将flag输入到靶场中这道题就完成了。

(因为做笔记,所以重新做的,所以显示早就解出这道题了。)

蓝色亦琛
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
BUUCTF系列 // [极客挑战 2019] Http
qq_45805420的博客
09-25 1501
前言 本题知识点:常用 HTTP 请求头 WP 打开题目,在页面中没有发现明显的提示,查看网页源码,经搜索后发现一个似乎存在猫腻的网页 ‘Secret.php’ 访问该页面,得到第一个提示 题目要求我们从 ‘https://www.Sycsecret.com’ 进入该页面,故使用 burpsuite 抓包,在请求头中增加 Referer 字段即可 Referer HTTP Referer是 header 的一部分,当浏览器向 Web 服务器发送请求的时候,一般会带上 Referer,告诉服务器该网页是从
BUUCTF Http
zoixsoadji的博客
03-14 502
解法一 进入题目,查看一下源代码 发现源代码中有个可以的超链接,进去看看 提示我说不是从这个域名过来的,第一反应就是抓包,修改请求头 弹出了第二个界面,说我们必须要用Syclover这个浏览器,那我们就修改user - agent 又跳出了一个新页面,提示我们说我们只能从本地阅读,那我们就伪造IP 然后flag就出来了 解法2 上面这种解法挺好用,但是就是在做题前要先抓个包,有点小烦,然后我就试了试bugku 还是进入那个Secret....
BUUCTF_[极客挑战 2019]Http解题思路
时光不老的博客
01-10 439
[极客挑战 2019]Http
buuctf web极客挑战 http 1
qq_50647304的博客
10-25 1306
进去之后先查看源码,发现一个网页‘Secret.php’ 点进去,题目要求我们从 ‘https://www.Sycsecret.com’ 进入该页面。 该题考的是http协议和请求头相关知识,一般放到burp suite中抓包改包 先抓包,并发送到repeater: 根据题目提示添加referer Referer: https://www.Sycsecret.com ps: Referer是HTTP请求Header的一部分,当浏览器向Web服务器发送请求的时候,请求头信息一般需要包含Refere
buuctf [极客挑战 2019]Http 个人解题思路
最新发布
2301_76899943的博客
05-14 220
locally提示我们需要本地访问,那么根据所学的知识和以往的经验,容易联想到使用XFF(X-Forwarded-For)请求头修改客户端的原始ip,本地IP也就是127.0.0.1。而且,在网站的页面中这个链接也是无法直接点开的,更加令人怀疑是否是解题的关键。本题整体感觉下来是考察有关计算机网络的知识,具体来说是http协议中用户所发送的请求包中,各种请求头的含义的相关知识。源代码中大部分都是一些文件的超链接,点开大致观察了一下,代码离了大谱的多,猜测应该是纯代码,没有隐藏信息。那么打开hackbar。
Buuctf Http
Dexret的博客
12-07 2266
打开该靶机,发现该靶机为一个普通的页面 查看一下该网页的源码 发现有一个Secret.php的网页,打开该网页 这里提示我们需要从https://Sycsecret.buuoj.cn去访问该网页 利用Burpsuite对该网页进行抓包,添加referer值 Referer:https://Sycsecret.buuoj.cn 添加完referer值后发现,又需要我们通过Syclover浏览器去访问该网页 修改User-Agent值 User-Agent:Syclover ..
[极客挑战 2019]Http1(BUCTF在线评测)
邓霖涛的博客
08-10 2381
得到flag{8d8ea9d6-86ae-4f8d-8f8e-e10d4b1bd9ef}you can only read this locally!浏览器修改不了Referer的值,换工具抓包工具(修改浏览器代理到抓包工具)搜索下看看有没有别的链接,如标签,发现有两处a标签,特别是第二处。按提示修改请求头X-Forwarded-For:localhost。鼠标右键发送到重发器修改Referer的值,测试请求。页面a标签包裹的"氛围"二字,可以点击了。F12调试该页面,跟踪该get网络请求。......
Buuctf-Web-[极客挑战 2019]EasySQL 1 题解及思路总结
m0_62239233的博客
09-16 7975
SQL注入。
[极客挑战 2019]Http(BUUCTF)
HackerYY的博客
02-07 310
极客挑战水题 用到抓包和欺骗服务器 内附解题过程
勇士的奇妙大冒险之几何炼金 - 洋葱数学极客挑战赛最佳创意奖.zip
04-23
勇士的奇妙大冒险之几何炼金 - 洋葱数学极客挑战赛最佳创意奖
mercado-c:极客大学正在进行的项目
04-09
极客大学正在进行的项目 向用户显示菜单的应用程序; 将产品添加到购物车时,只需更改数量即可检查购物车中是否已存在同一产品。 在购买结束时,必须根据购物车中输入的产品和数量将总额显示给用户。
course-java-2:极客大学家庭作业Java 2级
05-09
Java家庭作业2级(极客大学) 第1课。Java面向对象的编程 OOP原则,类,对象,接口,枚举,内部/嵌套/匿名/本地类。 第2课。例外 异常处理的概念,与传统错误处理机制的比较,try-catch-finally块,异常类型,Java...
geek-festa-web-api-sample:极客节庆的样本Web API
03-10
极客web API示例极客节庆的样本Web API
BUU(http1)
m0_65151172的博客
04-08 130
要注意的是伪造的东西不能放在发送包的尾部,只能穿插在中间否则执行不成功,没学很透不懂。界面发生变化,显示要使用Syclover浏览器访问,我们使用BP抓个包。他显示我们不来自Sycsecret.buuoj.cn这个网站。然后显示我们必须要本地访问,欧克,那我们再伪造本地访问。一开始就是一个介绍界面没有什么东西,F12去找一下。在这找到secret.php访问一下。那我们就修改referer。
BUUCTF Web [极客挑战 2019]Havefun
热门推荐
wangyuxiang946的博客
10-25 1万+
「作者主页」:士别三日wyx   此文章已录入专栏《网络攻防》,持续更新热门靶场的通关教程 「未知攻,焉知收」,在一个个孤独的夜晚,你完成了几百个攻防实验,回过头来才发现,已经击败了百分之九十九的同期选手。 [极客挑战 2019]Havefun一、题目简介二、思路分析1)信息泄露2)代码功能审计三、解题过程1)查看页面源代码2)提交参数四、总结 一、题目简介 进入题目连接以后,出现了一只「猫」,普普通通的一只猫,没什么特别的功能。 二、思路分析 1)信息泄露 这一关是「信息泄露」.
buuctf [极客挑战 2019]Http1
weixin_63289925的博客
04-07 4882
啥也没有,查看网页源代码 看到了一个不一样的东西,url+/Secret.php进行访问 图是我们不是从https://Sycsecret.buuoj.cn这个地方来的,我们就欺骗它从这个地方去试试 需要使用到HTTP Referer伪造 Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。” 方法一:使用bp抓包,在最后一行加上Referer:https://...
buuctf http 1
qq_74020399的博客
04-04 297
buuctf http 1
BUUCTF http
m0_73995922的博客
11-27 186
buuctf
buuctf web 极客挑战2019
08-24
对于BUUCTF Web极客挑战2019,我了解到它是一个网络安全比赛,由北方工业大学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的题目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值