终于把攻防世界里面WEB安全的难度一的题做完了(一些个我认为比较难的题后面也会写个博客),开始做难度二题。
----------------------------------------------------------------------------开始正经
原题:攻防世界
这个题难度不是很大,其实就是看我们聊不了解xff和referer的含义。
官话我这里就不引用了。用自己话来说xff用来告诉服务器我们的真实ip地址,referer用来告诉服务器我们的用来访问的网页。
我们打开网页发现只有这么一句话
用burp抓包后看到
抓取的数据并没有 xff和referer,结合题目要求所以我们给他添加一个xff
xff添加的格式为X-Forwarded-For:ip地址。
在burp的重发器那里添加后点击攻击可以看到
题目又规定我们的referer必须来自谷歌,所以我们又添加referer,让它等于www.google.com
再次重发后即可得到flag