[极客大挑战 2019]Http

最新推荐文章于 2023-11-03 15:12:32 发布
最新推荐文章于 2023-11-03 15:12:32 发布
阅读量187 收藏
点赞数
分类专栏: BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44022113/article/details/114363317
版权

查看源码在"氛围"这两个字上有隐藏的跳转Secret.php。进入以后页面显示

It doesn't come from 'https://www.Sycsecret.com'

提示页面不是来自这个网址,所以在HackBar上加上Referer:https://www.Sycsecret.com。之后又提示

Please use "Syclover" browser

加上User-Agent:Syclover。又提示

No!!! you can only read this locally!!!

加上X-Forwarded-For:127.0.0.1
HTTP X-Forwarded-For 介绍

最终的请求头:

GET /Secret.php HTTP/1.1
Host: node3.buuoj.cn:26715
Upgrade-Insecure-Requests: 1
User-Agent: Syclover
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
x-forwarded-for: 127.0.0.1
referer: https://www.Sycsecret.com
Connection: close
深海神奇舰舰长
关注
专栏目录
[BUUCTF][极客挑战 2019]Http
朋克归零膏的博客
10-13 719
在CTF中修改http头的操作常有BUUCFT另一题,常用到的值User-AgentReferer。
极客挑战2019http(改包)和BUU BRUTE 1 (爆破)
m0_73770225的博客
11-27 1075
极客挑战2019http(改包)和BUU BRUTE 1 (爆破)
[极客挑战 2019]Http(referer,User-Agent,XFF)
qq_45521281的博客
04-15 574
首先查看源代码,找到Secret.php 我们访问这个页面,显示上说这个页面必须来自"https://www.Sycsecret.com" 那就简单了,我们抓包, 又说必须使用Syclover浏览器,我们这里直接修改User-Agent头即可 又说No!!! you can only read this locally!!!,让我们伪造IP,在headers里面添加X-Forwarded-F...
第九周buuctf
ing_end的博客
11-04 817
buuctf
[极客挑战 2019]Http1解题思路
Megumiwind的博客
08-08 4234
1.打开Burp suite输入靶机的网址进行抓包,并把抓到的包发送到repeater(重发器)当中 在重发器中先点击发送查看一下结果的网页源代码。 在源码当中发现在一个html语句,并且是a标签的跳转语句,而跳转的地点是secret.php <a style="border:none;cursor:default;" onclick="return false" href="Secret.php">氛围</a> 2.既然是秘密页面,我们当然要进去看一下到底是.
BUUCTF百题刷题总结(一)
qwzf
09-14 2082
前言 最近打算开始刷BUU的Web题了,之前已经刷过一些,有的总结了,有的没有总结。总结过的这里只写之前总结的链接;没总结的,原因是当时感觉有点简单,这里简单写下考察知识点和解题思路。 新刷的Web题,会认真总结。本篇主要记录之前刷的题,BUUCTF刷题系列持续更新(SQL注入题单独记录)! 0x01 [HCTF 2018]WarmUp 考点:PHP代码审计+绕过自定义函数+文件包含 查看源代码,发现source.php,访问发现源码 <?php highlight_file(__FILE_
BUUCTF[极客挑战 2019]Http1
qq_35874748的博客
10-18 489
打开题目后: 首先F12找线索,果然发现了一个名为Secret.php的文件,打开它
BUUCTF系列 // [极客挑战 2019] Http
qq_45805420的博客
09-25 1534
前言 本题知识点:常用 HTTP 请求头 WP 打开题目,在页面中没有发现明显的提示,查看网页源码,经搜索后发现一个似乎存在猫腻的网页 ‘Secret.php’ 访问该页面,得到第一个提示 题目要求我们从 ‘https://www.Sycsecret.com’ 进入该页面,故使用 burpsuite 抓包,在请求头中增加 Referer 字段即可 Referer HTTP Referer是 header 的一部分,当浏览器向 Web 服务器发送请求的时候,一般会带上 Referer,告诉服务器该网页是从
[极客挑战 2019]EasySQL1
lljiuhkhk的博客
07-20 2542
CTF,sql注入,web渗透,安全入门
buuctf web [极客挑战 2019]Http
m0_61903191的博客
09-18 329
X-Forwarded-For://如果提示只能由本地访问,这里内容必须改为127.0.0.1如果给了其他ip,那就改为其他IP地址.但是页面中有提示:It doesn't come from 'https://Sycsecret.buuoj.cn'所以,我们添加Referer:https://Sycsecret.buuoj.cn。User-Agent: //一般这个地方也需要改,看题目给的啥提示来改.Referer://这地方也需要改,看看题目给的提示,看给哪个url。检查了一下源码,有一个跳转页面。
BUUCTF WEB 极客挑战 2019 Http
Ethan552525的博客
08-04 822
题目: 解题: 1:查看网页源代码 浏览页面,没有发现有用信息,查看源代码发现:Secret.php 2:尝试访问/Secret.php HTTP Referer Http Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器借此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我...
CTF
qq_50025258的博客
02-01 557
[极客挑战 2019]HTTP 查看源码,发现php文件 href="Secret.php" BurpSuite抓包 提示:it不是来自https://www.Sycsecret.com HTTP请求首部字段 Referer:http://www.Sycsecret.com` 作用:告知服务器请求的原始资源的URI 提示:请use"Syclover"浏览器 User-Agent:Syclover 作用:将创建请求的浏览器和用户代理名称等信息传达给服务器 提示:No!!! you can only r
BUUCTF [极客挑战 2019]Http
weixin_44728681的博客
02-24 262
BUUCTF [极客挑战 2019]Http Referer和x-forwarded-for
[极客挑战 2019]Http1(BUCTF在线评测)
邓霖涛的博客
08-10 2850
得到flag{8d8ea9d6-86ae-4f8d-8f8e-e10d4b1bd9ef}you can only read this locally!浏览器修改不了Referer的值,换工具抓包工具(修改浏览器代理到抓包工具)搜索下看看有没有别的链接,如标签,发现有两处a标签,特别是第二处。按提示修改请求头X-Forwarded-For:localhost。鼠标右键发送到重发器修改Referer的值,测试请求。页面a标签包裹的"氛围"二字,可以点击了。F12调试该页面,跟踪该get网络请求。......
http协议 - 常见渗透测试姿势
最新发布
HAKUNAMATATATTA的博客
11-03 302
http协议,常见渗透测试姿势
buuctf刷题之旅之web(一)
qq_50589021的博客
08-17 5819
2021-01-15 第一题:[HCTF 2018]WarmUp 这里懒得上传图片了,所以就直接笔记了 源代码里面有1.source.php,所以打开以后还会发先2.hint.php 1打开后会发现是代码审计 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["s
2021-03-07
qq_45987641的博客
03-07 359
title: buu1-16 date: 2021-03-07 16:58:29 tags: 二刷buu 坦白说,第一次刷题感觉不是很好,很多东西没吸收,所以二刷,想把之前丢掉的知识捡回来。 [HCTF 2018]WarmUp 两个php文件,hint.php提示flag在ffffllllaaaagggg 代码审计: 白名单,传入值在白名单里, $_page = mb_substr(//mb_substr() 函数返回字符串的一部分 $page, 0,//从0开始截取 mb_strpos($page . .
每天一道ctf
whisper921的博客
10-28 1064
有这样一行代码
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值