BUUCTF 二 [极客大挑战 2019]Http

于 2023-06-21 08:50:41 发布
阅读量197 收藏
点赞数 1
分类专栏: CTF 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74850066/article/details/131320138
版权

[极客大挑战 2019]Http

 

打开以后发现啥也没有,同样先查看一下源码,找了半天啥也没找到

最后找到了一个php

为什么它有用呐

href

超链接所指向的 URL。链接不限于基于 HTTP 的 URL——它们可以使用浏览器支持的任何 URL 协议

去访问一下

 出现了一段话

It doesn't come from 'https://Sycsecret.buuoj.cn'

他不来自这里,秉承着反骨,我们试一试

 用referer来伪造一下

Referer 请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用 Referer 请求头识别访问来源,可能会以此进行统计分析、日志记录以及缓存优化等。

Referer - HTTP | MDN (mozilla.org)

https://blog.csdn.net/shenqueying/article/details/79426884 

 browser 的意思是:. n. 浏览程序,浏览器 (用于在互联网上查阅信息); 浏览图书报刊者; 逛商店的人

了解一下这是什么东东

User-Agent

User-Agent 首部包含了一个特征字符串,用来让网络协议的对端来识别发起请求的用户代理软件的应用类型、操作系统、软件开发商以及版本号。

User-Agent - HTTP | MDN (mozilla.org)

对他进行修改,改成题目中想要的样子,然后再发送

改了又出现……要求(需要本地ip链接)

伪造ip

根据自己的需求来用:

X-Forwarded-For: 127.0.0.1
X-Originating-IP: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1

chttps://blog.csdn.net/qq_38185837/article/details/124844879

 ok拿到了flag

这里我直接再bp中查看的,在pretty中可以复制flag

蒜头味的dacong
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF [极客挑战 2019]Http
weixin_53955759的博客
09-11 100
打开环境是一个小组的简介,看了一下 查看源码 找了半天才发现有Secrect.php这个可疑的地方,它藏在右边,一直没发现。 拼接地址进入 就提示我不是从https://www.Sycsecret.com这个地方进入的 那么第一个问就是要解决如何欺骗它我们就是从https://www.Sycsecret.com进入的Secret.php 了解到有HTTP Referer伪造,这也是解决第一个问需要用到的 下面就用到了bp拦截改referer 设置好代理,开启拦截.
BUUCTF[极客挑战 2019]Http1
qq_35874748的博客
10-18 397
打开目后: 首先F12找线索,果然发现了一个名为Secret.php的文件,打开它
[极客挑战 2019]Http
pakho_C的博客
02-01 1104
[极客挑战 2019]Http 打开靶场 没有什么发现,审计源代码 这里发现一处链接 点击 根据页面提示,It doesn’t come from ‘https://Sycsecret.buuoj.cn’.这不是从https://Sycsecret.buuoj.cn这个页面而来,说明是访问Secret.php页面要从Sycsecret.buuoj.cn页面而来 常用的http请求头以及响应头详解 即需要在请求头中要加入referer字段 使用谷歌插件hackbar进行修改 得到提示,请使用Syclo
BUUCTF [极客挑战 2019]Http1
Hrain7的博客
11-01 161
进入靶场 查看源代码,发现Secret.php 打开Secret.php
BUUCTF-Web-网络协议-[极客挑战 2019]Http
weixin_42566218的博客
03-30 7985
BUUCTF-Web-网络协议-[极客挑战 2019]Http 目链接:BUUCTF 类型:请求头绕过 知识点:http请求头(Referer、X-Forwarded-For、User-Agent) 解过程 单从网页看是发现不了什么隐藏内容的,通过F12打开控制台直接搜索关键字"php"发现一个超链接文件"Secret.php",因为"onclick=return flase"所以从网页中直接点击是无法跳转的 手动访问"Secret.php“页面后提示”It doesn't come fr
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“极客摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典,旨在庆祝三诺集团的周年纪念,并促进北海市高新产业园及其相关企业的交流与合作。活动的...
极客学院JAVA视频教程 新版 7大部分
08-08
Java语言视频教程 极客学院JAVA视频教程 新版 7大部分
ISCC2019个人挑战目练习
05-05
【ISCC2019个人挑战目练习】是一次针对网络安全技术的竞赛,旨在提升参赛者在信息安全领域的技能和实战经验。此类挑战通常涵盖多种技术领域,包括但不限于密码学、漏洞分析、网络嗅探、逆向工程、Web安全以及...
天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
01-28
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,...天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
BUUCTF WEB[极客挑战 2019]Http
Y1da的博客
04-16 238
BUUCTF WEB[极客挑战 2019]Http 打开环境后F12查看源代码,发现一个跳转链接 <a style="border:none;cursor:default;" onclick="return false" href="Secret.php">氛围</a> 尝试访问Secret.php,提示 It doesn't come from 'https://Sycsecret.buuoj.cn' 抓包,修改http请求头 原请求包 GET /Secre
BUUCTF 每日打卡 2021-7-17
weixin_52446095的博客
07-17 568
引言 无 [INSHack2019]Yet Another RSA Challenge - Part 1 加密代码如下: import subprocess p = subprocess.check_output('openssl prime -generate -bits 2048 -hex') q = subprocess.check_output('openssl prime -generate -bits 2048 -hex') flag = int('INSA{REDACTED}'.encode(
[INSHack2019]Yet Another RSA Challenge
weixin_44110537的博客
07-27 614
encrypt import subprocess p = subprocess.check_output('openssl prime -generate -bits 2048 -hex') q = subprocess.check_output('openssl prime -generate -bits 2048 -hex') flag = int('INSA{REDACTED}'.encode('hex'), 16) N = int(p,16) * int(q,16) print N print
BUUCTF:[INSHack2019]gflag
末初的CSDN博客
08-02 1163
目地址:https://buuoj.cn/challenges#[INSHack2019]gflag 根据description得知,这是一种编程语言 通过搜索引擎搜索,得知是G语言(G-Code) 这是搜索引擎找到的G语言图片 接着找到一个G语言的在线运行站:https://ncviewer.com/ 把代码复制进去,点击PLOT,调整角度,放大 flag{3d_pr1nt3d_fl49} ...
BUUCTF Crypto [INSHack2019]Yet Another RSA Challenge - Part 1 wp
hsqGOD's blog
04-23 675
这道告诉你了rsa的n的因子其中的p,但是其中的字母有所替换,我们就可以发现,这串字符中的‘FC’可能是’FC‘也可能是’9F’于是话不多说直接爆破即可,下面给出本脚本 import gmpy2 from Crypto.Util.number import * n=71957974565330311902587309804384891397688083828663581735179018970...
BUUCTF RSA(三)
qq_52193383的博客
08-18 994
这里写目录标1.[MRCTF2020]babyRSA2.[WUSTCTF2020]dp_leaking_1s_very_d@angerous3.[NPUCTF2020]EzRSA4.[MRCTF2020]Easy_RSA5.[INSHack2019]Yet Another RSA Challenge - Part 1 1.[MRCTF2020]babyRSA 根据给出的代码可以很容易推出 _Q = sympy.nextprime(pow(sub_Q,Q_2,Q_1))。我们知道P[9],就可以推出其他的素
java毕设&课设-图书管理系统(完整的).zip
最新发布
07-21
计算机毕业设计资源包含(项目部署视频+源码+LW+开报告等等),所有项目经过助教老师跑通,有问可以私信博主解决,可以免费帮部署。
buuctf web 极客挑战2019
08-24
对于BUUCTF Web极客挑战2019,我了解到它是一个网络安全比赛,由北方工业大学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值