[极客大挑战]http
题目 查看源代码发现secret.php
查看secret.php
看到提示:
It doesn’t come from ‘https://www.Sycsecret.com’
它不是来自https://www.Sycsecret.com
那就让他来自https://www.Sycsecret.com
抓包处理添加参数
referer:https://www.Sycsecret.com
看到又有提示:请使用syclover浏览器
那就继续伪造,我的是火狐的就直接把火狐给改为syclover,版本都不用改,放包。
紧接着又有提示:需要本地用户登录
那就继续伪造,添加参数:
X-Forwarded-For: 127.0.0.1
果然他没骗人,给出了flag