先看题目描述,就知道需要用到xff和referer,先来了解一下它们。
Referer是请求header
的一部分,当浏览器(或者模拟浏览器行为)向web
服务器发送请求的时候,头信息里有包含 referer。比如我在www.sojson.com
里有一个www.baidu.com
链接,那么点击这个www.baidu.com
,它的header
信息里就有:Referer=https://www.sojson.com。由此可以看出来吧。它就是表示一个来源。
简单来说,Referer是HTTP协议中的一个请求报头,用于告知服务器用户的来源页面。比如说你从Google搜索结果中点击进入了某个页面,那么该次HTTP请求中的Referer就是Google搜索结果页面的地址。如果你的博客中引用了其他地方的一张图片,那么对该图片的HTTP请求中的Referer就是你那篇博客的地址。
打开题目链接
用burpsuite进行抓包,再Send to Repeater ,再Go,就可以看到ip地址必须为123.123.123.123
所以使用xff伪造ip地址,在最后一行加上X-Forwarded-For:123.123.123.123,再Go(发送)
在新出现的内容里看到必须来源于https://www.google.com,所以又在最后一行加上Referer:https://www.google.com 再发送,即可得到flag