[LitCTF 2023]Http pro max plus

[LitCTF 2023]Http pro max plus wp

页面内容:只允许本地访问

考查 HTTP ,抓包:

添加 XFF 头:

注意这里抓包之后还有两行回车换行,不要破坏掉了,不然收不到响应。

X-Forwarded-For: 127.0.0.1

在这里插入图片描述

不能用 XFF ,那就换一个。

添加 Client-Ip 头

Client-Ip: 127.0.0.1

在这里插入图片描述

这里提示:You are not from pornhub.com !

添加 Referer 头

Referer: pornhub.com

在这里插入图片描述

提示用 Chrome 浏览器。

修改 User-Agent 头

User-Agent: Chrome

在这里插入图片描述

提示代理服务器地址 Clash.win 。

添加 Via 头

Via 报头一般由代理加入,正向和反向代理,并且可以在请求头和响应标头出现。它用于跟踪消息转发,避免请求循环,并识别请求/响应链中发送者的协议功能。

Via: Clash.win

在这里插入图片描述

提示给出了一个文件:wtfwtfwtfwtf.php 。

访问 wtfwtfwtfwtf.php 文件

在这里插入图片描述

提示中给出了一个文件:sejishikong.php

访问 sejishikong.php 文件

在这里插入图片描述

拿到 flag 。

总结

最后总结一下学到的新东西:

Client-Ip 请求头可以代替 X-Forwarded-For 请求头伪造 IP 。

Via 请求头中可以写代理服务器。

  • 7
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值