看到题目描述猜测是http请求头方向的题目,引入相关知识:
Referer是 HTTP请求header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里有包含 Referer。比如我在www.sojson.com 里有一个www.baidu.com 链接,那么点击这个www.baidu.com ,它的header 信息里就有:
Referer=https://www.sojson.com
User-Agent
中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及浏览器版本、浏览器渲染引擎、浏览器语言、浏览器插件等。一些网站常常通过判断 UA 来给不同的操作系统、不同的浏览器发送不同的页面,因此可能造成某些页面无法在某个浏览器中正常显示,但通过伪装 UA 可以绕过检测。
X-Forwarded-For
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。
当今多数缓存服务器的用户为大型ISP,为了通过缓存的方式来降低他们的外部带宽,他们常常通过鼓励或强制用户使用代理服务器来接入互联网。有些情况下,这些代理服务器是透明代理,用户甚至不知道自己正在使用代理上网。
点开靶机
第一个界面是让我们提供身份证明,用hackbar添加请求头User-Agent,然后界面又显示邀请码,这里我是连接了bp发现了setcookie code=guest,然后想到添加cookie请求头,但是要改成code=Vidar
然后添加refer,还有X-Forwarded-For=127.0.0.1,
很常规,但最后题目需要发送一个json请求,连上burp suite改数据
{"username":"luckytoday","password":"happy123"}
我的bp好像出故障了,更改请求头没有反应,不知道为什么,现在准备重装,图片也没截到,下次再说。
这道题我在比赛写的时候,第一反应就是连接bp,然后看到setcookie就以为第一步是更改cookie,联想了buu上的一道http题,但是一直都没有反应, 也有尝试其他请求头,不知道是不是我的bp那个时候就故障了,反正这道题没写出来真的很不应该,反思!