[LitCTF 2023]Http pro max plus

最新推荐文章于 2024-05-27 20:43:54 发布
最新推荐文章于 2024-05-27 20:43:54 发布
阅读量1.1k 收藏 9
点赞数 7
分类专栏: ctf 文章标签: http web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73612768/article/details/135284321
版权

[LitCTF 2023]Http pro max plus wp

页面内容:只允许本地访问

考查 HTTP ,抓包:

添加 XFF 头:

注意这里抓包之后还有两行回车换行,不要破坏掉了,不然收不到响应。

X-Forwarded-For: 127.0.0.1

在这里插入图片描述

不能用 XFF ,那就换一个。

添加 Client-Ip 头

Client-Ip: 127.0.0.1

在这里插入图片描述

这里提示:You are not from pornhub.com !

添加 Referer 头

Referer: pornhub.com

在这里插入图片描述

提示用 Chrome 浏览器。

修改 User-Agent 头

User-Agent: Chrome

在这里插入图片描述

提示代理服务器地址 Clash.win 。

添加 Via 头

Via 报头一般由代理加入,正向和反向代理,并且可以在请求头和响应标头出现。它用于跟踪消息转发,避免请求循环,并识别请求/响应链中发送者的协议功能。

Via: Clash.win

在这里插入图片描述

提示给出了一个文件:wtfwtfwtfwtf.php 。

访问 wtfwtfwtfwtf.php 文件

在这里插入图片描述

提示中给出了一个文件:sejishikong.php

访问 sejishikong.php 文件

在这里插入图片描述

拿到 flag 。

总结

最后总结一下学到的新东西:

Client-Ip 请求头可以代替 X-Forwarded-For 请求头伪造 IP 。

Via 请求头中可以写代理服务器。

妙尽璇机
关注
  • 7
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MaxPlus2软件 MaxPlus2软件
04-04
1、支持MAX+PLUS II全部功能,包括原理图输入、VHDL/AHDL输入、编译、仿真、定时分析、编程。为方便下载,这一版本仅提供对EPM7000/EPM7000S/EPM7000A的支持; 2、安装很简单,只需将文件安装unpack在c:\maxplus2\...
2023LitCTF web组wp
m0_74160536的博客
05-17 1076
1、导弹迷踪2、1zjs3、php是世界上最好的语言!!4、Ping5、我Flag呢?7、作业管理系统8、Vim yyds10、这是什么?SQL!注一下!11、Flag点击就送!12、就当无事发生13、彩蛋。
NSSCTF中的1zjs、作业管理系统、finalrce、websign、简单包含、Http pro max plus、[鹤城杯 2021]EasyP
2401_82388450的博客
05-14 1183
1.php代码中要是有exec()函数,应该想到无回显的RCE2.遇到waf中的控制字符串长度,应该如何绕过3.了解到了http请求头中的其他参数,以及他们的作用。
有趣的网站分享——pornhub风格生成器
热门推荐
timberman666的博客
12-22 2万+
有趣的网站分享——pornhub风格生成器
LitCTF-2023-web部分
m0_74097148的博客
05-18 1779
也有多种解法,当然如果上传有黑名单限制 但是远程下载没有 则可以用远程下载去下载PHP木马文件,然后剩余的步骤和上传木马的操作一样 不多做说明。并且题目提示我们只有username, password两列, 不需要group by去判断列数了。输入如下图的内容, 下载后点击编辑文件即可看到flag。如果想要了解更多关于http头部的信息可以参考。
[LitCTF 2023]刷题记录
rev1ve的博客
05-17 772
提示我们不是来自于pornhub.com,利用Referer。发现为文件上传,直接传php发现成功(啥过滤都没有)F12一下发现提示admin,admin,直接登录。题目提示vim编辑器,用kali打开文件。发现题目已经告诉我们sql语句的闭合方式。直接去/.index.php.swp下。我们ping一下,127.0.0.1。直接在game.js找到flag。我们得伪造admin,加密一下。打开题目,直接js找flag。发现有过滤,要绕过前端检测。再次输入命令,得到flag。找了半天,发现是改过的。
MAXPLUS_II.zip_maxplus
09-22
MaxPlus II在电子时钟设计中的应用》 在电子工程领域,MaxPlus II是一款广泛使用的硬件描述语言(HDL)编译器和仿真工具,主要用于数字逻辑设计和验证。这款软件由 Synopsis 公司开发,是VHDL和Verilog HDL设计...
CPLD.rar_maxplus
09-22
标题中的"CPLD.rar_maxplus"表明这是一个与复杂可编程逻辑器件(Complex Programmable Logic Device,简称CPLD)相关的资源文件,而“CPLD”通常是指在电子设计自动化领域用于实现数字逻辑功能的集成电路。...
dianzizhong.rar_MAX plus2
09-22
Max Plus II是一款强大的硬件描述语言(HDL)开发工具,主要应用于数字系统的设计与分析。在电子工程领域,它被广泛用于实现逻辑电路的设计、仿真和综合。标题中的“dianzizhong.rar_MAX plus2”可能是指一个使用Max...
juzhenjianpan.rar_maxplus
09-24
《基于MAXPLUS的矩阵键盘设计详解》 矩阵键盘在电子设计领域中是一种常见的输入设备,尤其在嵌入式系统和微控制器应用中广泛使用。它通过将按键布局为矩形阵列,有效节省了硬件资源并简化了信号处理。本文将深入...
[LitCTF2023] web方向全题解wp
Leaf_initial的博客
05-14 2462
签到题,f12获取flag这里注意看一下源代码,有彩蛋先留着。
NSS题目练习4
最新发布
cyy001128的博客
05-27 601
Client-IP: - Client-IP是另一个用于传递客户端IP地址的HTTP请求头字段,但并不如X-Forwarded-For常用。Referer请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。[protocol-name] 表示使用的协议,比如 "HTTP" 或 "HTTPS"。[proxy-node-name] 表示代理服务器的名称,可以是一个标识符或主机名。通过请求中的"Via"字段,可以获取有关请求的中间代理服务器的信息。
这个沙雕项目,可以自制PornHub风格LOGO
Python之禅的专栏
03-27 1万+
PornHub又名P站,网站流量在全球也是TOP10级别的,和淘宝、百度等站点同一个level,他们家网站的LOGO也显得个性鲜明。如何用Python画...
LitCTF 2023 web wp
Jay17的博客
05-14 1198
LitCTF 2023 web wp 全
MAX+PLUS II入门与编程指南
"这份资源是一个关于MAX+PLUS II EDA工具的用户入门指南,主要讲解如何使用MAX+PLUS II进行设计输入、项目编译、校验、器件编程等操作。此外,还涉及了ES-Site授权和PLS-WEB服务,支持多种FPGA器件,包括Classic系列...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值