[极客大挑战 2019]Http
先进去,然后发现是个宣传的网站,好像我还知道这个,不过现在已经改名了就是,而且,西南太明显了,不管那么多,没看到什么特别的信息,看看源码,发现一个php界面,访问一下
然后提示必须要来自于这个网址
It doesn't come from 'https://Sycsecret.buuoj.cn'
这里还搞错了一下,Referer和x-forwarded-for一直没怎么在意,还是区别挺大的
X-Forwarded-For 是一个 HTTP 扩展头部,是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。
主要是为了让 Web 服务器获取访问用户的真实 IP 地址。
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的
Referer表示页面的来源。
然后加个referer头,再去访问这个界面,又一个提示
Please use "Syclover" browser
让用特定的浏览器?不存在的,直接抓包,改一下,顺便发到Repeater模块
然后又一个提示,说必须本地访问,那就再加一个加个x-forwarded-for头,就可以了
No!!! you can only read this locally!!!
成功得到flag