Bugku-web

最新推荐文章于 2021-08-29 00:04:13 发布
最新推荐文章于 2021-08-29 00:04:13 发布
阅读量245 收藏 1
点赞数
分类专栏: Bugku 文章标签: Bugku 安全 CTF web 你从哪里来
原文链接:https://www.sojson.com/blog/58.html
版权

@Bugku #WEB “你从哪里来”

你从哪里来

访问题目链接,提示are you from google?,意思是我们得从goole进入
在这里插入图片描述
使用Google,发现这是骗人的,还是得不到flag
在这里插入图片描述

抓包,然后修改referer字段的值
在这里插入图片描述
添加请求头:referer
在这里插入图片描述
就此得到了flag
在这里插入图片描述

总结

此题只需搞清楚请求头referer是什么就可以了

那么Referer是什么?

Referer是HTTP请求header的一部分,当浏览器(或者模拟浏览器行为)向web服务器发送请求的时候,头信息里有包含Referer。

Referer的作用?

1.防盗链
比如我只允许我自己的网站访问我自己的图片服务器,那么我的域名是www.abc.com,那么图片服务器每次取到Referer来判断一下是不是我自己的域名www.abc.com,如果是就继续访问,不是就拦截。

2.防止恶意请求。
比如我的abc网站上,静态请求时*.html结尾的,动态请求是*.shtml,那么由此可以这么用,所有的*.shtml请求,必须Referer为我自己的网站

空Referer是怎么回是?什么情况下会出现Referer?

首先,我们对Referer的定义为,Referer头部的内容为空,或者,一个HTTP请求中根本不包含Referer头部。
那么什么时候HTTP请求会不包含Referer字段呢?根据Referer的定义,它的作用是指示一个请求时从哪里链接过来,那么当一个请求并不是由链接触发产生的,那么自然也就不需要指定这个请求的链接来源。

比如,直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含Referer字段的,因为这是一个“空凭产生”的HTTP请求,并不是从一个地方链接过去的。

版权所属:SO JSON在线解析

原文地址:https://www.sojson.com/blog/58.html

p01son
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUGKU-WEB
wojiushilsy的博客
02-22 506
5.矛盾 打开链接,内容如下: $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } is_numeric():检测字符串是否只由数字组成,如果字符串中只包括数字,就返回Ture,否则返回False。(注意是只包括数字) 要求我们不能输入纯数字1,但是num...
BUGKU--web详解
qq_49422880的博客
05-28 1984
web5-web?前言Web4Web5Web6Web7Web8game1Web11社工-伪造一级目录一级目录 前言   听说bugku的题很适合新手我就来了,感觉前几题都比较简单也没什么好总结的,就从第四题开始吧,后面要是碰到简单的估计只会略微提起几句,大家要是有不理解的知识点,可以私信我。 Web4   就是考察简单的代码审计,只需要传递的what的变量等于flag即可,于是我们可以构造一个payload,用win10的cmd发送,用Burpsuite抓包返包或则firefox的harbar也可以完成这个
bugku-web-web2
a3uRa的一个窝
07-31 504
在url前加上view-source: 查看源代码,发现flag
Bugku--web新版
qq_46874275的博客
04-10 1034
~目录~web4web5web6web7web8 web4 $what=$_POST['what']; //接受post过来的参数what,存到what里 echo $what;//打印 if($what=='flag')//如果值是flag echo 'flag{****}';//打印flag hackbar在post data里写what=flag 或者bp抓包,右键change request method,在最下方写what=flag web5 $num=$_GET['num'];//获取参数n
bugkuctf解题-WEB
05-04
bugku writeup,web解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 Bugku-Web-cookie欺骗是指通过构造Cookie欺骗服务器,获取敏感信息或控制服务器行为的一种攻击方式。本文将详细介绍Bugku-Web-cookie欺骗的原理、攻击过程和防御方法。 原理 在Web应用程序...
apachecn#apachecn-ctf-wiki#BugkuCTF-WEB解题记录-11-15_weixin_3069946
07-25
BugkuCTF WEB解题记录 11-15_weixin_30699463的博客-CSDN博客来源:
CTF Web学习笔记
01-11
### CTF Web学习笔记知识点详解 #### 杂项部分 **1. 隐写术** 隐写术是一种将信息隐藏于其他非秘密数据之中的技术,这种技术通常用于隐蔽通信或数据保护。在CTF竞赛中,经常出现的情况是将flag隐藏在图像、音频...
ctf web培训资料pdf
10-06
通过url访问靶机web站点,观察页面中的功能点,对可能存在漏洞的页面进行探测。 常见的漏洞特征: SQL注入:www.example.com?id=1 文件包含:www.example.com?page=file1.php 文件上传
Bugku web8 文件包含
weixin_44522540的博客
02-22 560
九、web8 文件包含 <?php include "flag.php"; //flag在flag.php里 $a = @$_REQUEST['hello']; eval( "var_dump($a);"); show_source(__FILE__); ?>     0x01知识点 $_REQUEST[]支持det、post两种方式发送过来的请求,很明显接收了hello参数的值 var_dump()函数 显示关于一个或
Bugku web25 are you from google?
weixin_44522540的博客
02-24 254
二十四、web25 are you from google? burp伪造请求头即可
BugkuCTF-WEB题你从哪里来
am_03的博客
08-29 587
知识点 Referer的作用为告诉服务器请求是从哪里来的 这道题考察的是HTTP header里的Referer字段,Referer是HTTP请求头信息里面的一个常见字段,它提供了访问来源的信息。比如说,在某网站上看到一个广告并点了进去,那么我就可能会在HTTP 协议在请求(request)的头信息里面看到Referer这一字段给出“引荐网页”的URL,让人知道我们是通过“某网站”进入的这个广告页。 打开网页,只有一句话:are you from google? 看起来需要告诉服务器,请求来源于goool
Bugku WEB 你从哪里来
qq_41696858的博客
07-14 188
就怕直接把答案直接给你了,提示,你是从google来的吗,题目,你从哪里来 说不是加Referer我都不信 burpsuite抓包,加referer头,即可得到flag referer:http://www.google.com 参考视频链接:https://www.bilibili.com/video/BV1bq4y1W7qC/ ...
bugku-web 你从哪里来 writeup
Peithon的博客
06-14 5815
访问题目链接,提示are you from google?,意思是我们得从goole进入 使用Google,发现这是骗人的,还是得不到flag 抓包,然后修改referer字段的值 就此得到了flag...
bugku之你从哪里来
Seaern的博客
09-02 394
用火狐打开,页面提示 are you from google? 用google打开,却是同样得提示 然后用burp抓包改包 referer:https://www.google.com referer HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处...
bugkuctf web基础部分 writeup
river
03-20 2874
Bugku-ctf-web 管理员系统 随便输入用户名和密码提示 窗体顶端 窗体底端 IP禁止访问,请联系本地管理员登陆,IP已被记录. 明显需要伪造允许登录的IP 知识点: XFF头(X-Forwarded-For),代表客户端,也就是HTTP的请求端真实的IP。有两种方式可以从HTTP请求中获得请求者的IP地址。一个是从Remote Address中获得,另一个是从X-Forward-For中...
Bugku 你从哪里来(web)
ChenZIDu的博客
04-08 807
例题Bugku:你从哪里来(web) 首先点开链接:http://123.206.87.240:9009/from.php 显示这个画面,之后点开F12但是没有任何提示; 没有什么思路,抓个包; 得到如下: 百度题解有说到一个HTTP Refere 这个是用来告诉你点击这个是从哪个网页点到这个的; 这题文字问:我们是不是来自谷歌。 所以添加一行 得到flag; 解释下refer:HTTP ...
bugku-web-你从哪里来
a3uRa的一个窝
08-28 775
用bp抓包 添加referer头 referer: https://www.google.com 得到flag 刚开始还以为要改ua头,改了发现没用
这是一个神奇的登录框(Bugku-web题 使用sqlmap注入实例)
热门推荐
Risker
03-14 1万+
正在学习sqlmap,拿这个题先入门一下。题目链接:http://120.24.86.145:9001/sql/先看下源代码:是post提交,url明显提示是个sql注入,由于post提交,要sql和burp结合起来使用。首先burp抓包,抓到包后选择存到txt文件中:(随便输入账号密码)我保存到了D盘的1.txt里。然后打开sqlmap,输入指令:sqlmap.py -r "D:\1.txt" ...
bugku s1 awd排位赛-12
最新发布
08-07
bugku s1 awd排位赛-12是Bugku安全平台上举办的一场AWD(Attack and Defense)排位赛的第12轮比赛。Bugku是一个致力于网络安全技术研究和交流的平台,这场比赛的目的是为了检验参赛者在攻击和防御方面的技术实力。 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值