[极客大挑战]http

最新推荐文章于 2023-09-25 19:50:35 发布
最新推荐文章于 2023-09-25 19:50:35 发布
阅读量97 收藏
点赞数
分类专栏: web 文章标签: php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52671379/article/details/118159333
版权

[极客大挑战]http

题目 在这里插入图片描述查看源代码发现secret.php
在这里插入图片描述查看secret.php
在这里插入图片描述看到提示:
It doesn’t come from ‘https://www.Sycsecret.com’
它不是来自https://www.Sycsecret.com
那就让他来自https://www.Sycsecret.com
抓包处理添加参数
referer:https://www.Sycsecret.com
在这里插入图片描述看到又有提示:请使用syclover浏览器
那就继续伪造,我的是火狐的就直接把火狐给改为syclover,版本都不用改,放包。
在这里插入图片描述紧接着又有提示:需要本地用户登录
那就继续伪造,添加参数:
X-Forwarded-For: 127.0.0.1
在这里插入图片描述果然他没骗人,给出了flag
在这里插入图片描述

老young可爱
关注
专栏目录
[极客挑战 2019]Http wp
{OvEr}的博客
11-19 718
[极客挑战 2019]Http wp 打开页面就是这样的。 我们先查看源代码,发现一个Secret.php。 我们试着访问一下,结果如下图。 显示It doesn't come from 'https://www.Sycsecret.com',也就是说他要求我们访问的地址是https://www.Sycsecret.com,那么我们用burpsuite先抓个包,要求从https://www.Sycsecret.com进入,那么我们要改header信息头,在下面加一行referer。 看看结果 他
BUUCTF-WriteUp
鱼的博客
02-01 741
title: BUUCTF WriteUp date: 2021-01-16 17:44:59 tags: CTF WriteUP WEB [HCTF 2018]WarmUp 启动环境,打开网址是一张滑稽,没什么用,看一下源码,发现有注释。 访问source.php,直接给了源码,进行代码审计。 分两块,第一块是emmm::checkFile,里面做了一些判断。 第二块是一个include,文件包含,我们要绕过验证,也就是上面的checkFile方法。 hint.php include触发的三个判断.
[极客挑战 2019]Http 1
weixin_45674567的博客
06-04 1610
查看源码 要来自https://www.Sycsecret.com,那就在Header信息里加Referer, 要使用Syclover浏览器 要本地才能读 flag{f4771669-8eb6-42cd-975a-7ac9c932f38c}
Syc 2019第10届极客挑战wp
Rainbow_Melo
11-12 3093
1、打比赛前先撸一只猫! F12查看元素:简单的传参令?cat=dog即出flag 2、你看见过我的菜刀么 打开页面eval($_POST[“Syc”]);搬出菜刀连接找到flag即可 3、 BurpSuiiiiiit!!! 下载附件解压使用bp的Extender导入一个java类型的查看errors即得flag 4、性感潇文清,在线算卦 打开一个登陆界面,先随意输登陆一下,出现如下...
BUUCTF百题刷题总结(一)
qwzf
09-14 2089
前言 最近打算开始刷BUU的Web题了,之前已经刷过一些,有的总结了,有的没有总结。总结过的这里只写之前总结的链接;没总结的,原因是当时感觉有点简单,这里简单写下考察知识点和解题思路。 新刷的Web题,会认真总结。本篇主要记录之前刷的题,BUUCTF刷题系列持续更新(SQL注入题单独记录)! 0x01 [HCTF 2018]WarmUp 考点:PHP代码审计+绕过自定义函数+文件包含 查看源代码,发现source.php,访问发现源码 <?php highlight_file(__FILE_
极客挑战 Http
她叫常玉莹
09-10 144
打开网址翻一下什么也没有发现,f12大法 发现了Secret.php 提示我们添加Referer头 添加User-agent 添加X-Forwarded-For 获得flag 这题算比赛中的签到题了很友好 人生漫漫其修远兮,网安无止境。 一同前行,加油! ...
[极客挑战 2019]Http
qq_63548648的博客
11-28 2045
1
极客挑战 2019 】Http
Lixunzhe0112的博客
01-17 598
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。所以直接在请求头下面加入X-Forwarde-For:127.0.0.1再发送就能获取flag。然后又提示我们需要使用Syclover的浏览器,那就是User-Agent。X-Forwarded-For这个参数可以进行代理。这里做了个referer的拦截,我们直接用bp。然后就没思路了,去查找了一下HTTP的请求头。再修改相应的内容重新发送。
BUUCTF -> Web [极客挑战 2019]Http(详解)
最新发布
m0_72986388的博客
09-25 1677
之后界面会显示“No!" 是一个URL,指向一个名为 "Sycsecret.buuoj.cn" 的网站或资源。这样就会得到flag之后将flag输入到靶场中这道题就完成了。User-Agent:标识发起请求的用户代理(常为浏览器)。(因为做笔记,所以重新做的,所以显示早就解出这道题了。Referer(请求头字段)表示指示请求的来源页面。所以我们要把此段的浏览器改为Syclover浏览器。"理解为一个链接地址。这样我们就得到了解决本题的有用信息。
[BUUCTF][极客挑战 2019]Http
朋克归零膏的博客
10-13 732
在CTF中修改http头的操作常有BUUCFT另一题,常用到的值User-AgentReferer。
BUUCTF系列 // [极客挑战 2019] Http
qq_45805420的博客
09-25 1545
前言 本题知识点:常用 HTTP 请求头 WP 打开题目,在页面中没有发现明显的提示,查看网页源码,经搜索后发现一个似乎存在猫腻的网页 ‘Secret.php’ 访问该页面,得到第一个提示 题目要求我们从 ‘https://www.Sycsecret.com’ 进入该页面,故使用 burpsuite 抓包,在请求头中增加 Referer 字段即可 Referer HTTP Referer是 header 的一部分,当浏览器向 Web 服务器发送请求的时候,一般会带上 Referer,告诉服务器该网页是从
buuctf web极客挑战 http 1
qq_50647304的博客
10-25 1411
进去之后先查看源码,发现一个网页‘Secret.php’ 点进去,题目要求我们从 ‘https://www.Sycsecret.com’ 进入该页面。 该题考的是http协议和请求头相关知识,一般放到burp suite中抓包改包 先抓包,并发送到repeater: 根据题目提示添加referer Referer: https://www.Sycsecret.com ps: Referer是HTTP请求Header的一部分,当浏览器向Web服务器发送请求的时候,请求头信息一般需要包含Refere
【pwn】2022 极客挑战
woodwhale的博客
11-22 1552
2022 极客挑战 pwn题解
极客挑战2019】http(改包)和BUU BRUTE 1 (爆破)
m0_73770225的博客
11-27 1082
极客挑战2019】http(改包)和BUU BRUTE 1 (爆破)
BUUCTF刷题记录 Http
m0_46576074的博客
05-18 789
[极客挑战 2019]Http 进入网址 查看源代码 发现Secret.php 进入 用burpsuite试试 发现It doesn’t come from 'https://www.Sycsecret.com 添加referer:https://www.Sycsecret.com 又发现Please use “Syclover” browser 添加User-Agent:Syclover browser 紧接着发现No!!! you can only read this locally!!! 再添加
Upload-labs
qq_52671379的博客
04-01 4696
Upload-labs
buuctf [网鼎杯 2020 玄武组]SSRFMe
qq_52671379的博客
04-23 3593
buuctf [网鼎杯 2020 玄武组]SSRFMe
buuctf [第三章 web进阶]Python里的SSRF
qq_52671379的博客
04-21 3034
buuctf [第三章 web进阶]Python里的SSRF
xss-labs通关技巧
qq_52671379的博客
04-25 2902
第一关 标签注入 <script>alert(1)</script> 没有任何防护措施 第二关 我们输入的数据,是在表单中的value属性内,所以需要先闭合input标签 "><script>alert(1)</script> 法二: 闭合value属性,然后在input标签内加入事件属性 " οnclick="alert(1) 查看源码: 在h2标签中有.htmlspecialchars(str),所以在该地方虽然有回显我们的恶意代码,但是不能x
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值