这个题目我是在赛后看到有个师傅发了b站,看到第一步的时候就突然发现自己的注意点一直是错的,
第一步 (UA头)
发现啥也没有,于是抓个包发现set-cookie(于是我的注意力一直都在cookie上了/😭)
这一步应该在UA上做文章,应该把UA头改成Cute-Bunny,这样才能达到身份验证(我没想到/😭)
返回包:
第二步(cookie)
这一步才是cookie
把cookie改成code=Vidar
返回包:
第三步(referer)
来源一般用的是referer,具体是干啥的建议查查,我也不熟/doge
所以我们在请求包加上referer:bunnybunnybunny.com
返回包:
第四步(xff)
本地请求,我们一般用的是xff,之前做题的时候也碰到过其他的比如X-Real-IP(好像是这个,我忘了 )
所以我们这一步加上X-Forwarded-For:127.0.0.1
返回包:
第五步(json)
最后就以json请求得到flag
json:
{
"username":"luckytoday",
"password":"happy123"
}
flag: