BUUCTF——极客大挑战 2019]Http 1

最新推荐文章于 2024-03-14 15:30:33 发布
最新推荐文章于 2024-03-14 15:30:33 发布
阅读量2.1k 收藏 10
点赞数 7
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47271638/article/details/118344769
版权

首先要了解一下知识点

1.什么是 Referer?

就是你点击A标签 Referer的信息告诉服务端你从哪里点击出来的。

2.什么是User-Agent?

User Agent中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。可以抓包进行修改其中的值。

3.什么是X-Forwarded-For?

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。大概就是传输自己真实的IP地址,阻止匿名请求,但同样的也可以通过抓包进行修改。

打开环境

在这里插入图片描述

来来回回看了没有发现什么可疑的地方于是右键查看源代码
在这里插入图片描述
发现这里有一个小的子文件打开
在这里插入图片描述
提示我们这个不能来自于https://www.Sycsecret.com但是我就是不信我就要打开
于是在url中回车发现没有什么用返回无法访问
在这里插入图片描述

然后想一下可以通过抓包来改变来源
添加referer来伪造来源
在这里插入图片描述
发现叫我们换一种浏览器来访问这个网页
于是又修改user-agent中的值来伪造我们的网站
在这里插入图片描述
再一次出现提示说我们只能在locally中读取这个
这时我们需要在HTTP数据包中添加X-Forward-For和本地回环地址
在这里插入图片描述
最后得到flag

(自己做题和自己写wp完完全全就是两个概念,有时看到那些简洁和有调理解题步骤的wp会让人刚入门的我们觉得自己很笨,自己明明要做很久的题或者想很久思路才可能做出来而且大部分投入的精力到最后都还可能做不出来,但换一种想法那些大神在刚入门的时候可能跟我们一样的烦恼吧,可能学习网安就是一个日积月累的过程吧自己见过的题多了,碰的壁多了就慢慢地知道了方向,希望和我一样的才入门的小伙伴们一直都有恒心的坚持学下去!)

chujhss
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
BUUCTF刷题记录】[极客挑战 2019] Http
m0_60911102的博客
09-18 1553
主要利用http请求header中的Referer,User-Agent,X-Forwarded-For三个部分伪造
BUUCTF-[极客挑战 2019]Http1
m0_74167420的博客
03-14 312
比如我在www.sojson.com 里有一个www.baidu.com 链接,那么点击这个www.baidu.com ,它的header 信息里就有:Referer=https://www.sojson.com。中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及浏览器版本、浏览器渲染引擎、浏览器语言、浏览器插件等。Referer 常用在防盗链和防恶意请求中。提示我们要使用的浏览器为:Syclover。
GFG-:极客极客30天挑战
02-17
玻璃纤维 极客30天挑战2021年1月 30天练​​习问题的Python解决方案: 与同学一起翻阅怪胎。(Array); 第N个自然数; 不能表示为Sum的最小正整数; 从抽屉里拿出“ k”双袜子的最小采摘次数; 螺旋矩阵奇克兰的硬币; 有效对和; 糖果坝; 变形重复字符串匹配; 秘密密码; 位差; 检查树遍历; 统治对; 计数三胞胎; 限制性糖果粉碎; 帮助同学; 132怪异建筑; 限制吃豆子; 情人节; 电晕疫苗; BST的最短范围; 露西的邻居;
天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
01-28
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 3、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。 天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
2019年三诺集团四周年庆典极客摇滚跑活动方案
buuctf [极客挑战 2019]Http1
weixin_61060664的博客
11-13 1598
buuctf刷题过程,我是菜鸡,有问题就是你对
[极客挑战 2019]Http1新手入门教学
weixin_66112047的博客
11-05 344
BUUCTF 类型:请求头绕过 知识点:http请求头(Referer、X-Forwarded-For、User-Agent)
[极客挑战 2019]Http1解题思路
Megumiwind的博客
08-08 3744
1.打开Burp suite输入靶机的网址进行抓包,并把抓到的包发送到repeater(重发器)当中 在重发器中先点击发送查看一下结果的网页源代码。 在源码当中发现在一个html语句,并且是a标签的跳转语句,而跳转的地点是secret.php <a style="border:none;cursor:default;" onclick="return false" href="Secret.php">氛围</a> 2.既然是秘密页面,我们当然要进去看一下到底是.
[极客挑战 2019]Http1
qq_51979295的博客
09-21 474
http请求
[极客挑战 2019]Http 1
m0_73728268的博客
03-15 542
http的学习
第三届 Apache Flink 极客挑战赛暨AAIG CUP——电商推荐“抱大腿”攻击识别亚军代码方案.zip
08-21
全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。...
竞赛资料源码-第三届 Apache Flink 极客挑战赛暨AAIG CUP——电商推荐“抱大腿”攻击识别亚军代码方案.zip
01-24
RoboMaster、RoboCon、“西门子杯”中国智能制造挑战赛、中国大学生计算机设计大赛、世界技能大赛、中国高校计算机大赛-大数据挑战赛、团体程序设计天梯赛、移动应用创新赛、网络技术挑战赛、全国大学生信息安全竞赛...
node-v9.6.0-x86.msi
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Python基于机器学习的分布式系统故障诊断系统源代码,分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别
04-29
基于技术手段(包括但不限于机器学习、深度学习等技术)对分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别,实现分布式系统故障运维的智能化,快速恢复故障的同时大大降低分布式系统运维工作的难度,减少运维对人力资源的消耗。在分布式系统中某个节点发生故障时,故障会沿着分布式系统的拓扑结构进行传播,造成自身节点及其邻接节点相关的KPI指标和发生大量日志异常
JavaScript前端开发的核心语言前端开发的核心语言
最新发布
04-29
javascript 当今互联网时代,JavaScript已经成为了前端开发的核心语言它是一种高级程序设计语言,通常用于网页的交互和动态效果的实现。JavaScript的灵活性以及广泛的使用使得它变得异常重要,能够为用户带来更好的用户体验。 JavaScript的特点之一是它的轻量级,它可以在网页中运行无需单独的编译或下载。这意味着网页可以更快地加载并且用户无需安装额外的软件才能运行网页上的JavaScript代码。此外,与HTML和CSS紧密结合,可以直接在HTML文档中嵌入,使得网页的开发变得非常便捷。 JavaScript具有动态性,它可以在浏览器中实时修改页面内容和样。它可以通过操作DOM(文档对象模型来动态地修改网页的结构和布局,并且可以根据用户的行为实时地响应各种事件,如点击、标悬停、滚动等。这使得开发者可以轻松地为网页添加交互性和动态效果,提供更好的用户体验。 JavaScript也是一种面向对象的语言。它支持对象、类、继承、多态等面向对象编程的概念,使得代码结构更加清晰和可维护。开发者可以创建自定义的对象和方法,对功能进行封装和复用,提高代码的可读性和可维护性。
四则运算自动生成程序安装包
04-29
四则运算自动生成程序安装包
基于Linux的私有文件服务器(网盘).zip
04-29
基于Linux的私有文件服务器(网盘)
buuctf web 极客挑战2019
08-24
嗨!对于BUUCTF Web极客挑战2019,我了解到它是一个网络安全比赛,由北方工业大学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的题目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计和网络协议等。参赛者需要通过解决各个题目来获取相应的flag,以证明自己的能力。如果你有具体的问题或需要更详细的信息,我会尽力帮助你。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值