bugku-web-你从哪里来

最新推荐文章于 2024-08-30 11:12:09 发布
最新推荐文章于 2024-08-30 11:12:09 发布
阅读量342 收藏
点赞数 3
分类专栏: CTF靶场 文章标签: 前端 CTF 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_75121443/article/details/137644141
版权
文章讲述了在爬取网页时,遇到类似谷歌浏览器访问未见变化的情况,作者通过分析发现可以通过抓取请求头中的Referer字段,模拟浏览器行为来判断爬虫的起始位置,从而实现反爬策略中的识别起点,最终获取到flag。
摘要由CSDN通过智能技术生成

这里就这一句话提示,问我是不是谷歌的?
用谷歌浏览器访问

没看见什么变化

抓包查看
没有变化

这时我想到爬虫中的反爬策略中有一种,判断请求的当前界面来判断用户的起始判断位置

这时抓取报文

GET / HTTP/1.1
Host: 114.67.175.224:15160
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36 Edg/123.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: Hm_lvt_c1b044f909411ac4213045f0478e96fc=1711286763; _ga=GA1.1.52075818.1711286767; _ga_F3VRZT58SJ=GS1.1.1711288951.2.1.1711290145.0.0.0
Connection: close

并添加字段

Referer: http://www.google.com

这个字段是用来提示服务器我们当前请求发送时所在页面的
完整报文

GET / HTTP/1.1
Host: 114.67.175.224:15160
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36 Edg/123.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: Hm_lvt_c1b044f909411ac4213045f0478e96fc=1711286763; _ga=GA1.1.52075818.1711286767; _ga_F3VRZT58SJ=GS1.1.1711288951.2.1.1711290145.0.0.0
Referer: http://www.google.com
Connection: close

得到flag

白牧羊人
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Bugku 你从哪里来(web)
ChenZIDu的博客
04-08 809
例题Bugku:你从哪里来(web) 首先点开链接:http://123.206.87.240:9009/from.php 显示这个画面,之后点开F12但是没有任何提示; 没有什么思路,抓个包; 得到如下: 百度题解有说到一个HTTP Refere 这个是用来告诉你点击这个是从哪个网页点到这个的; 这题文字问:我们是不是来自谷歌。 所以添加一行 得到flag; 解释下refer:HTTP ...
Bugku-web】计算器
weixin_73625393的博客
01-21 528
2.按"F12"查看页面源代码,根据箭头指向可以看到这个空白框内的长度为1,也就是输完一个字就不能往后输了,根据这样就直接更改数据1改3,3.改后:多写几个字不碍事,然后计算正确值是多少,填写正确后提交出现flag值。
BUGKU-WEB ezbypass
天泽岁月
03-12 1480
BUGKU-WEB ezbypass,正则绕过,自增绕过
Bugku-web
p01son的博客
09-30 246
@Bugku #WEB “你从哪里来” 你从哪里来 访问题目链接,提示are you from google?,意思是我们得从goole进入 使用Google,发现这是骗人的,还是得不到flag 抓包,然后修改referer字段的值 添加请求头:referer 就此得到了flag 总结 此题只需搞清楚请求头referer是什么就可以了 那么Referer是什么? Referer是HTTP...
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗正是基于这种思想,通过构造恶意的Cookie来欺骗服务器,获取敏感信息或控制服务器行为。 攻击过程 攻击过程可以分为以下几个步骤: 1. 首先,攻击者需要找到服务器上的漏洞,例如,存在着...
bugku-web-GET解析过程
weixin_46168073的博客
11-14 1046
一、启动场景 二、解题过程 点进去得到 可以看到这是一个if语句,判断条件为what=='flag'就会显示出echo 下的'flag",那我们直接在地址后面,写上?what=flag。 然后就得到了flag,直接复制粘贴到记事本,然后在复制粘贴到提交框。 点击提交。 ...
bugku-web-POST解析过程
weixin_46168073的博客
11-14 1319
一、启动场景 首先,老规矩,我们启动场景。 二、解题过程 这里看到和之前GET提交一样的东西,我们直接在后面输入和get一样的东西?what=flag,发现没用。 可见POST提交和GET提交的不一样。 然后我们下载hackbar工具。 这里我用的火狐。可以在github上下,也可以直接导包。2.1.3之前的免费,之后的收费。 这里百度网盘给个链接。 链接:https://pan.baidu.com/s/1FaVcS-zCaQEXs-FJM0BLCw 提取码:1234 ...
BugKu-web---程序员本地网站
MIGENGKING的博客
04-13 692
打开链接: 题目提示“本地访问!”,和“localhost”’ 因此用burpsuite抓包加上加上:X-Forwarded-For: 127.0.0.1 首先: X-Forwarded-For: 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。 接着: 127.0.0.1是回送地址,指本地...
bugku-web-滑稽
weixin_46168073的博客
11-11 1505
Bugku-web-滑稽解析过程。 一、启动场景 首先,我们启动场景。(点击启动)。 选择OK,注册bugku会送金币,不用担心。 百度bugku就行 二、进入环境 然后我们进入环境。 点击超链接进入环境。 三、做题思路 可以看到是一堆滑稽,而且会越来越快的出现。做为一个新手,我们直接按F12,检查HTML代码。 可以看到flag就藏在其中。 复制flag,<!--flag{73a8b9807007d4d0cbead418e02add9...
JavaScript代码片段
weixin_66128399的博客
08-26 1588
使用场景是:后端列表查询接口,某个字段前端不传,后端就不根据那个字段筛选,例如name不传的话,就只根据page和pageSize筛选,但是前端查询参数的时候(vue或者react)中,往往会这样定义。给后端发送数据的时候,要判断某个属性是不是空字符串,然后给后端拼参数,这块逻辑抽离出来就是cleanObject,代码实现如下。leading-true,trailing-true:在延时开始时就调用,延时结束后也会调用。//第一个参数指定位数,第二个字符串指定字符,都是可选参数,如果都不传,默认生成8位。
前端的面试题
本人小可爱
08-30 83
【代码】前端的面试题。
HTML <template> 标签的基本技巧
最新发布
ufrontend的博客
08-30 365
HTML中的标记是 Web 开发中一个功能强大但经常未得到充分利用的元素。它允许你定义可重复使用的内容,这些内容可以克隆并插入 DOM 中而无需最初渲染。此功能对于创建动态、交互式 Web 应用程序特别有用。在本文中,我们将探讨有效使用 标记的 10 个基本技巧,帮助你在项目中充分发挥其潜力。1. 了解 标记的基础知识 标记是一个 HTML 元素,它包含页面加载时不会渲染的客户端内容。
Window Performance API
Bruce__taotao的博客
08-28 1049
Window Performance API 是一组浏览器提供的接口,用于收集和分析网页性能数据。它允许开发者精确地测量网页加载时间、资源加载时间、用户交互延迟等性能指标,从而优化用户体验。1. 主要接口1.1返回一个高精度时间戳,通常用于计算精确的时间差。例如,你可以用它来测量函数执行时间。使用场景: 精确计算代码段的执行时间。// 执行某个任务console.log(`执行时间:${// 执行某个任务 const end = performance . now();
vue ref和reactive区别
灰海
08-25 3235
在第二个示例中,我们使用了reactive来创建一个名为state的响应式对象,它包含name和age两个属性。在模板中,我们通过{{ state.name }}和{{ state.age }}来显示state对象的属性值。在第一个示例中,我们使用了ref来创建一个名为count的响应式引用,它是一个简单的数字类型。在模板中,我们通过{{ count }}直接显示count的值,而不需要.value前缀,因为Vue的模板语法会自动处理ref的.value访问。
vue3插件原理
m0_46281382的博客
08-26 1603
简述vue3中use方法加载第三方插件原理
AI 大模型时代,对前端工程师有哪些机遇和挑战?
Z4400840的博客
08-28 1247
AI 大模型时代为前端工程师带来了丰富的机遇,同时也带来了挑战。前端工程师需要积极适应这些变化,掌握新的技能,以抓住时代发展的红利。通过不断学习和提升技术水平,前端工程师可以在AI时代中发挥更大的作用,创造更多的价值。
前端面试宝典【CSS篇】【8】
BDawn的专栏
08-26 279
绝对单位 适用于不需要缩放的场合,如打印样式。 相对单位 更适合Web设计,尤其是响应式设计。 vw/vh 适用于基于视口尺寸的布局设计。 em/rem 适用于字体大小相关的布局。
零基础5分钟上手亚马逊云科技-云原生架构设计
m0_66628975的博客
08-26 2666
欢迎来到小李哥全新亚马逊云科技AWS云计算知识学习系列,适用于任何无云计算或者亚马逊云科技技术背景的开发者,通过这篇文章大家零基础5分钟就能完全学会亚马逊云科技一个经典的服务开发架构方案。我会每天介绍一个基于亚马逊云科技AWS云计算平台的全球前沿云开发/架构技术解决方案,帮助大家快速了解国际上最热门的云计算平台亚马逊云科技AWS最佳实践,并应用到自己的日常工作里。
bugku s1 awd排位赛-12
08-07
bugku s1 awd排位赛-12是Bugku安全平台上举办的一场AWD(Attack and Defense)排位赛的第12轮比赛。Bugku是一个致力于网络安全技术研究和交流的平台,这场比赛的目的是为了检验参赛者在攻击和防御方面的技术实力。 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值