BUUCTF http

最新推荐文章于 2024-05-14 18:37:57 发布
最新推荐文章于 2024-05-14 18:37:57 发布
阅读量187 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73995922/article/details/128065274
版权

打开靶机查看源码发现一个php文件

进入后发现

 页面提示我们说我们不是来自https://Sycsecret.buuoj.cn

打开burpsuite,刷新页面进行抓包

referer:https://Sycsecret.buuoj.cn

referer是HTTP请求Header中的一部分,表示请求当前资源客户端来源

此时页面提醒我们Please use "Syclover" browser修改浏览器

页面显示 你只能在本地查看,我们需要伪造X-Forwarded-For

X-Forwarded-For是用来识别通过HTTP代理方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

 成功拿到flag

知识点:1.referer请求客户端修修改

               2.浏览器字段修改

               3.X-Forwarded-For字段ip伪造

 

 

 

XXX_WEB
关注
Header:请求头参数详解
panying1的博客
12-08 2628
Header 解释 示例 Accept 指定客户端能够接收的内容类型 Accept: text/plain, text/html,application/json Accept-Charset 浏览器可以接受的字符编码集。 Accept-Charset: iso-8859-5 Accept-Encoding 指定浏览器可以支持的web服务器返回内
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
X-Forwarded-For 学习
weixin_43460822的博客
09-17 866
** 定义 ** X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 ** 格式编辑 ** 这一HTTP头一般格式如下: X-Forwarded-For: client1, proxy1, proxy2, proxy3 其中的值通过一个 逗号+空格 把多个IP地址区分开, 最左边(client1)是最原始...
buuctf [极客大挑战 2019]Http 个人解题思路
最新发布
2301_76899943的博客
05-14 235
locally提示我们需要本地访问,那么根据所学的知识和以往的经验,容易联想到使用XFF(X-Forwarded-For)请求头修改客户端的原始ip,本地IP也就是127.0.0.1。而且,在网站的页面中这个链接也是无法直接点开的,更加令人怀疑是否是解题的关键。本题整体感觉下来是考察有关计算机网络的知识,具体来说是http协议中用户所发送的请求包中,各种请求头的含义的相关知识。源代码中大部分都是一些文件的超链接,点开大致观察了一下,代码离了大谱的多,猜测应该是纯代码,没有隐藏信息。那么打开hackbar。
Buuctf Http
Dexret的博客
12-07 2286
打开该靶机,发现该靶机为一个普通的页面 查看一下该网页的源码 发现有一个Secret.php的网页,打开该网页 这里提示我们需要从https://Sycsecret.buuoj.cn去访问该网页 利用Burpsuite对该网页进行抓包,添加referer值 Referer:https://Sycsecret.buuoj.cn 添加完referer值后发现,又需要我们通过Syclover浏览器去访问该网页 修改User-Agent值 User-Agent:Syclover ..
BUUCTF_[极客大挑战 2019]Http解题思路
时光不老的博客
01-10 443
[极客大挑战 2019]Http
BUUCTF [极客大挑战 2019]Http
m0_49025459的博客
05-11 555
我们右键查看一下网页源代码 <section id="two" class="wrapper alt style2"> <section class="spotlight"> <div class="image"><img src="images/pic01.jpg" alt="" /></div><div class="conte..
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF部分web题目
05-06
写题记录
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): ...
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
buuctf web题 极客大挑战 http 1
qq_50647304的博客
10-25 1321
进去之后先查看源码,发现一个网页‘Secret.php’ 点进去,题目要求我们从 ‘https://www.Sycsecret.com’ 进入该页面。 该题考的是http协议和请求头相关知识,一般放到burp suite中抓包改包 先抓包,并发送到repeater: 根据题目提示添加referer Referer: https://www.Sycsecret.com ps: Referer是HTTP请求Header的一部分,当浏览器向Web服务器发送请求的时候,请求头信息一般需要包含Refere
buuctf [极客大挑战 2019]Http1
weixin_63289925的博客
04-07 4891
啥也没有,查看网页源代码 看到了一个不一样的东西,url+/Secret.php进行访问 图是我们不是从https://Sycsecret.buuoj.cn这个地方来的,我们就欺骗它从这个地方去试试 需要使用到HTTP Referer伪造 Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。” 方法一:使用bp抓包,在最后一行加上Referer:https://...
buuctf http 1
qq_74020399的博客
04-04 300
buuctf http 1
buuctf -[极客大挑战 2019]Http
zzqzzq11的博客
08-06 226
buuctf
buuctf Easy Calc(HTTP请求走私和PHP字符串解析特性)
qq_44111753的博客
12-30 282
知识点: 1、PHP字符串解析特性 2、scandir() 返回指定目录中的文件和目录的数组。 readfile() 输出一个文件 var_dump()此函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值 file_get_contents()将一个文件读入字符串中 3、绕过过滤方法: 用chr()转ascii再进行拼接 题目: <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }e
BUUCTF——极客大挑战 2019]Http 1
qq_47271638的博客
06-29 2539
首先要了解一下知识点 1.什么是 Referer? 就是你点击A标签 Referer的信息告诉服务端你从哪里点击出来的。 2.什么是User-Agent? User Agent中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。可以抓包进行修改其中的值。 3.什么是X-Forwarded-For? X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器
[BUUCTF]PWN2——rip
mcmuyanga的博客
08-23 1700
[BUUCTF]-rip 题目网址:https://buuoj.cn/challenges#rip 步骤: 例行检查附件,64位程序,没有开启任何保护 nc一下,看看输入点的提示字符串,让我们写入一个字符串,然后回显ok,bye 用对应位数的ida打开,shift+f12先来查看一下程序里有的字符串 这里可以看到有bin/sh还有system函数,对于这两个我们比较敏感,因为system(/bin/sh)这句代码能让我们直接获取shell 双击bin/sh跟进,然后安装ctrl+x查看一下哪里调用了这
[极客大挑战 2019]Http(BUUCTF)
HackerYY的博客
02-07 317
极客大挑战水题 用到抓包和欺骗服务器 内附解题过程

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值