BUUCTF -> Web [极客大挑战 2019]Http

最新推荐文章于 2024-05-31 16:02:41 发布
最新推荐文章于 2024-05-31 16:02:41 发布
阅读量67 收藏
点赞数 1
文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74013288/article/details/133246445
版权

当我们打开靶机后,会出现这样的界面

无法得到任何信息,此时我们需要点击右键查看页面源代码,我们可以找到有.php的代码。点击后,我们可以得到以下页面。翻译过来是:

他不是来自于这个网址,打开Brupsuite,对其进行抓包。我们可以得到以下数据包:

GET /Secret.php HTTP/1.1
Host: node4.buuoj.cn:26899
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close

然后在该数据包中添加:referer:https://Sycsecret.buuoj.cn

referer是HTTP请求Header中的一部分,表示请求当前资源客户端来源。

接下来会提示我们please use “Syclover” browser

翻译为请使用“Syclover”浏览器

所以我们需要将User-Agent后的Mozilla改为Syclover,再次点击Send,会得到下面的界面

页面显示 :不!!!你只能在本地查看!!!所以我们需要输入X-Forwarded-For:127.0.0.1

X-Forwarded-ForXFF)是用来识别通过HTTP代理负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

这样我们就得到了flag:

cytoine
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[极客挑战 2019]web部分题解(已完结!),网络安全开发面试基础
m0_60635224的博客
04-08 986
那直接打指令找一下吧:cat /flag和的这里我会讲解我理解下的内容,如果有兴趣的师傅建议去原文看一下,其中我真的很喜欢士别三日博客的一句话,真的建议每一位Ctfer记住!
勇士的奇妙大冒险之几何炼金 - 洋葱数学极客挑战赛最佳创意奖.zip
04-23
勇士的奇妙大冒险之几何炼金 - 洋葱数学极客挑战赛最佳创意奖
BUUCTF-web极客挑战-2019 PHP
qq_48149564的博客
11-13 100
反序列化
BUUCTF - Web [极客挑战 2019]Http(详解)
m0_72986388的博客
09-25 1068
之后界面会显示“No!" 是一个URL,指向一个名为 "Sycsecret.buuoj.cn" 的网站或资源。这样就会得到flag之后将flag输入到靶场中这道题就完成了。User-Agent:标识发起请求的用户代理(常为浏览器)。(因为做笔记,所以重新做的,所以显示早就解出这道题了。Referer(请求头字段)表示指示请求的来源页面。所以我们要把此段的浏览器改为Syclover浏览器。"理解为一个链接地址。这样我们就得到了解决本题的有用信息。
BUUCTF_[极客挑战 2019]Http解题思路
时光不老的博客
01-10 426
[极客挑战 2019]Http
buuctf web [极客挑战 2019]Http
m0_61903191的博客
09-18 297
X-Forwarded-For://如果提示只能由本地访问,这里内容必须改为127.0.0.1如果给了其他ip,那就改为其他IP地址.但是页面中有提示:It doesn't come from 'https://Sycsecret.buuoj.cn'所以,我们添加Referer:https://Sycsecret.buuoj.cn。User-Agent: //一般这个地方也需要改,看题目给的啥提示来改.Referer://这地方也需要改,看看题目给的提示,看给哪个url。检查了一下源码,有一个跳转页面。
Buuctf-Web-[极客挑战 2019]EasySQL 1 题解及思路总结
m0_62239233的博客
09-16 7331
SQL注入。
BUUCTF-WEB-极客挑战 2019 HTTP
JC_xxx的博客
10-06 458
进入题目 右击查看源代码找到了一个名为Secret.php的php文件 访问Secret.php,看到提示,很明显是要求来自"https://www.Sycsecret.com" 在http请求头中直接修改或添加referer字段 修改后,页面的提示发生变化,要求我们使用Syclover 修改User-Agent 修改后,提示要求我们只能要求我们本地访问,这就需要修改X-Forwarded-For(XFF)了 修改X-Forwarded-For 修改后,即可得到flag ...
BUUCTF-Web-网络协议-[极客挑战 2019]Http
weixin_42566218的博客
03-30 7897
BUUCTF-Web-网络协议-[极客挑战 2019]Http 题目链接:BUUCTF 类型:请求头绕过 知识点:http请求头(Referer、X-Forwarded-For、User-Agent) 解题过程 单从网页看是发现不了什么隐藏内容的,通过F12打开控制台直接搜索关键字"php"发现一个超链接文件"Secret.php",因为"onclick=return flase"所以从网页中直接点击是无法跳转的 手动访问"Secret.php“页面后提示”It doesn't come fr
mercado-c:极客大学正在进行的项目
04-09
极客大学正在进行的项目 向用户显示菜单的应用程序; 将产品添加到购物车时,只需更改数量即可检查购物车中是否已存在同一产品。 在购买结束时,必须根据购物车中输入的产品和数量将总额显示给用户。
GFG-:极客极客30天挑战
02-17
极客30天挑战2021年1月 30天练​​习问题的Python解决方案: 与同学一起翻阅怪胎。(Array); 第N个自然数; 不能表示为Sum的最小正整数; 从抽屉里拿出“ k”双袜子的最小采摘次数; 螺旋矩阵奇克兰的硬币; 有效...
极客学院--Java Web
07-16
极客学院Java Web视频教程,仅供参考学习,有需要的可以下载,本人有全栈开发工程师各种学习技术视频教程及本档,有需要的可以留言或到本人账号下载
.NET调用GRPC出现 Bad gRPC response. Response protocol downgraded to HTTP/1.1.
背水的博客
05-27 184
可以看到Grpc.Net.Client包中从2.57版本后就没有.net5依赖项了。所以要保持版本在2.56,同理Grpc.Net.ClientFactory。如果你使用的不是最新的,net版本需注意包的版本。这个问题困扰了我一天🤣🤣🤣🤣 记录一下。我这里以.net 5为例。如果开了代理,需关掉,
HTTP Basic Access Authentication Schema
又言又语
05-29 996
HTTP Basic Access Authentication Schema,HTTP 基本访问认证模式,是 HTTP 1.0 引入的一种 基于认证机制的身份认证方案。:当客户端首次访问受保护资源时,服务器会向客户端发送一个challenge,客户端根据challenge信息做出对应的response。HTTP Basic Access Authentication 基于以下模型:客户端必须使用每个域(realm)对应的用户ID和密码进行认证。user ID(用户ID)、password(密码)、
httphttps分别是什么?区别是什么?
z13903931414的博客
05-28 1137
HTTP协议通常承载于TCP协议之上,有时也承载于TLS或SSL协议层之上,这个时候,就成了我们常说的HTTPS。HTTP不提供任何加密,它是明文传输的,因此数据在传输过程中可能被窃取或篡改。而HTTPS使用SSL/TLS加密所有传输的数据,因此数据在传输过程中是安全的,不易被窃取或篡改。HTTPS开发的主要目的是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。HTTPHTTPS是两种常见的网络协议,用于在Web上进行数据传输。:HTTP的默认端口是80,而HTTPS的默认端口是443。
HTTP 协议的基本格式和Fidder的简单使用
m0_67452103的博客
05-27 930
HTTP协议诞生于1996(开玩笑哈,),http协议用于网页和手机app和服务器交互的场景。通过HTTP协议,客户端(例如网页浏览器或手机应用)可以向服务器发送请求,服务器则会响应这些请求并返回相应的数据。这种交互包括获取网页内容、提交表单数据、传输文件等各种操作。虽然 HTTP 作用很大,应用很广,但是实际开发中,不一定是真正直接使用 HTTP,更大的概率是使用HTTPS(下一篇博客会介绍到),本质上还是 HTTP,但是引入了额外的加密层,使其更加的安全。
网络学习(12)|性能优化与调试:HTTP性能优化与分析
weixin_44435110的博客
05-29 771
利用Gzip或Brotli等压缩算法压缩HTML、CSS、JavaScript等文本资源,可以显著减少传输数据量,加快加载速度。对于大文件,可以使用HTTP/2的多路复用特性,优化资源加载。利用HTTP/2的多路复用、头部压缩等特性,和HTTP/3基于UDP的低延迟优势,提升性能。压缩图片文件大小,使用适当的图片格式(如WebP),并利用懒加载技术延迟加载非首屏图片。采用QUIC协议,减少了TCP的连接建立和拥塞控制的开销,降低了延迟。将非关键资源延迟加载或异步加载,优先加载关键资源,提升页面渲染速度。
最佳实践:REST API 的 HTTP 请求参数
最新发布
py0007的博客
05-31 592
请求参数使得数据传输更加简便、灵活,并且符合 REST 原则。对于 GET 请求使用查询参数,对于其他方法使用路径参数。避免在请求体中使用查询参数,应该将数据放在请求体内。同时验证、清理和记录参数。在 API 之间保持参数的一致性。通过这些策略,可以构建出高效、安全的 API 系统。
buuctf web 极客挑战2019
08-24
对于BUUCTF Web极客挑战2019,我了解到它是一个网络安全比赛,由北方工业大学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的题目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值