进入题目链接依旧给我们的是熟悉的界面
查看网页源码,我们发现了一个Secret.php
进入后显示为
提示访问来源不对,此时我们可以通过Referer头来伪造链接来源。
注:HTTP Referer是header的一部分,当浏览器发送请求的时候带上Referer,告诉服务器该网页是从哪个页面链接过来的。
此时我们用bp抓包来修改Refere
此时网页回显为
提示我们浏览器需要使用Syclover,向头里面添加一行,也就是修改一下User-Agent的内容
此时回显为
提示我们不是本地访问,这个时候我们可以X-Forwarded-For:127.0.0.1来伪造本地访问
此时获得flag