查看源代码:
找到一个小提示
直接点进去:
出现这个页面说明不太对
再抓包一下
查看大佬文章在请求包里加一个Referer
然后go一下
然后找到下一个提示
题目要求我们使用 ‘Syclover’ 浏览器访问该页面,故抓包修改 UA 字段
再go一下
然后得到第三个提示
要求我们必须从本地访问该页面,我们可以通过添加 XFF 头来实现伪装
gogogo!
最终得到 flag
下面进行这道题的技术总结
考察了对敏感文件名和敏感字段名对查找
对HTTP请求头的了解
Referer: 来源页面,访问该页面的前一个页面
User-Agent:浏览器名称常见的如谷歌浏览器(Chrome),
火狐浏览器(FireFox),Safari浏览器都有对应的浏览器请求头
X-Forwarded-For:一个事实标准 ,
用于标识某个通过超文本传输协议代理或负载均衡连接到
某个网页服务器的客户端的原始互联网地址