BUUCTF_[极客大挑战 2019]Http解题思路

已于 2024-01-10 12:55:48 修改
阅读量443 收藏 7
点赞数 6
分类专栏: CTF 文章标签: 网络安全 web安全
于 2024-01-10 10:25:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhai_jia_hui/article/details/135496881
版权
文章描述了作者在访问页面时发现的隐藏代码挑战,需通过伪造请求头(包括Referer、User-Agent和X-Forwarded-For)并使用特定浏览器Syclover来获取Secret.php中的旗标,强调了网络安全和HTTP协议的实践应用。
摘要由CSDN通过智能技术生成

访问页面内容,发现存在一段隐藏代码,包含一个脚本文件Secret.php。

访问Secret.php,发现提示请求需要来自https://Sycsecret.buuoj.cn。

伪造请求来源Referer: https://Sycsecret.buuoj.cn,发出请求,发现需要使用Syclover浏览器。

伪造浏览器名称User-Agent: Syclover/5.0,发送请求,返回提示需要本地网络才能阅读。

伪造X-Forwarded-For: 127.0.0.1,发送请求,达成全部条件,成功返回flag。

时光不改
关注
  • 6
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Header:请求头参数详解
panying1的博客
12-08 2628
Header 解释 示例 Accept 指定客户端能够接收的内容类型 Accept: text/plain, text/html,application/json Accept-Charset 浏览器可以接受的字符编码集。 Accept-Charset: iso-8859-5 Accept-Encoding 指定浏览器可以支持的web服务器返回内
BUUCTF [极客挑战 2019]Http
weixin_53955759的博客
09-11 97
打开环境是一个小组的简介,看了一下 查看源码 找了半天才发现有Secrect.php这个可疑的地方,它藏在右边,一直没发现。 拼接地址进入 就提示我不是从https://www.Sycsecret.com这个地方进入的 那么第一个问题就是要解决如何欺骗它我们就是从https://www.Sycsecret.com进入的Secret.php 了解到有HTTP Referer伪造,这也是解决第一个问题需要用到的 下面就用到了bp拦截改referer 设置好代理,开启拦截.
BUUCTF -> Web [极客挑战 2019]Http(详解)
m0_72986388的博客
09-25 1260
之后界面会显示“No!" 是一个URL,指向一个名为 "Sycsecret.buuoj.cn" 的网站或资源。这样就会得到flag之后将flag输入到靶场中这道题就完成了。User-Agent:标识发起请求的用户代理(常为浏览器)。(因为做笔记,所以重新做的,所以显示早就解出这道题了。Referer(请求头字段)表示指示请求的来源页面。所以我们要把此段的浏览器改为Syclover浏览器。"理解为一个链接地址。这样我们就得到了解决本题的有用信息。
BUUCTF http
borrrrring的博客
10-04 1742
打开网站我们可以看到 翻完网页发现没有什么有用的信息 查看源代码 我们发现这里有一个连接指向Secret.php 我们打开这个网站看看 根据题目提示这个题是与http协议有关的 我们先进行抓包 根据图片页面提示 我们要求这个是从www.Sycsecret.com这个页面访问的,所以我们在页面中添加referer信息,运行得到 根据返回信息,我们可以看到需要更换浏览器 需要从本地访问即X-Forwarded-For:127.0.0.1 得到flag ps: http协议 要求从某个IP或者主机
buuctf [极客挑战 2019]Http 个人解题思路
最新发布
2301_76899943的博客
05-14 235
locally提示我们需要本地访问,那么根据所学的知识和以往的经验,容易联想到使用XFF(X-Forwarded-For)请求头修改客户端的原始ip,本地IP也就是127.0.0.1。而且,在网站的页面中这个链接也是无法直接点开的,更加令人怀疑是否是解题的关键。本题整体感觉下来是考察有关计算机网络的知识,具体来说是http协议中用户所发送的请求包中,各种请求头的含义的相关知识。源代码中大部分都是一些文件的超链接,点开大致观察了一下,代码离了大谱的多,猜测应该是纯代码,没有隐藏信息。那么打开hackbar。
X-Forwarded-For 学习
weixin_43460822的博客
09-17 866
** 定义 ** X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 ** 格式编辑 ** 这一HTTP头一般格式如下: X-Forwarded-For: client1, proxy1, proxy2, proxy3 其中的值通过一个 逗号+空格 把多个IP地址区分开, 最左边(client1)是最原始...
BUUCTF-Web-网络协议-[极客挑战 2019]Http
weixin_42566218的博客
03-30 7971
BUUCTF-Web-网络协议-[极客挑战 2019]Http 题目链接:BUUCTF 类型:请求头绕过 知识点:http请求头(Referer、X-Forwarded-For、User-Agent) 解题过程 单从网页看是发现不了什么隐藏内容的,通过F12打开控制台直接搜索关键字"php"发现一个超链接文件"Secret.php",因为"onclick=return flase"所以从网页中直接点击是无法跳转的 手动访问"Secret.php“页面后提示”It doesn't come fr
Buuctf Http
Dexret的博客
12-07 2286
打开该靶机,发现该靶机为一个普通的页面 查看一下该网页的源码 发现有一个Secret.php的网页,打开该网页 这里提示我们需要从https://Sycsecret.buuoj.cn去访问该网页 利用Burpsuite对该网页进行抓包,添加referer值 Referer:https://Sycsecret.buuoj.cn 添加完referer值后发现,又需要我们通过Syclover浏览器去访问该网页 修改User-Agent值 User-Agent:Syclover ..
[BUUCTF][极客挑战 2019]Http
朋克归零膏的博客
10-13 679
在CTF中修改http头的操作常有BUUCFT另一题,常用到的值User-AgentReferer。
微型计算机_极客_2009-05.pdf
03-26
微型计算机_极客_2009-05.pdf
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“极客摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典,旨在庆祝三诺集团的周年纪念,并促进北海市高新产业园及其相关企业的交流与合作。活动的...
微型计算机_极客_2009-01.pdf
03-26
微型计算机_极客_2009-01.pdf
系统工具_应用工具_极客多标签文件管理器免费下载-无插件-下载地址直达.zip
09-20
多标签界面是极客多标签文件管理器的一大亮点。传统的文件管理器通常只有一个窗口,打开多个文件夹时会显得混乱,切换起来也不方便。但这款管理器引入了类似浏览器的多标签设计,使得同时处理多个文件夹变得轻松有序...
BUUCTF——Web1
2201_75331136的博客
07-17 644
打开靶机,出现以下页面查看源代码发现Secret.php,访问后出现以下页面接着我们使用bp进行抓包在请求头中添加字段发送请求,出现以下页面根据提示更改User-Agent为发送请求,出现以下页面提示要是来自本地的访问请求,联想到127.0.0.1,需要X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。出现flagflag为。
buuctf—[极客挑战 2019]Http
weixin_52620919的博客
10-28 263
查看源代码: 找到一个小提示 直接点进去: 出现这个页面说明不太对 再抓包一下 查看大佬文章在请求包里加一个Referer 然后go一下 然后找到下一个提示 题目要求我们使用 ‘Syclover’ 浏览器访问该页面,故抓包修改 UA 字段 再go一下 然后得到第三个提示 要求我们必须从本地访问该页面,我们可以通过添加 XFF 头来实现伪装 gogogo! 最终得到 flag 下面进行这道题的技术总结 考察了对敏感文件名和敏感字段名对查找 对HTTP请求头的了解 Referer: 来源页.
BUUCTF:[极客挑战 2019]Http1
m0_74039457的博客
03-13 489
本篇文章是为了加固上篇文章所展示的知识点,起到补缺补漏不遗忘的作用
buuctf-Http
m0_62094846的博客
10-29 401
是个没什么有用信息的网页,看看源代码 看到可以使用的信息,Secret.php,点开后 用Sycsecret.buuoj.cn这个网址,会打开一个网站,试过很多方式,但就是解不开 注册登录后 算了,还是看回之前的网站 这句话是要让这个命令来自以上网址,那就可以想到修改Referer browser中文是浏览器,但没有Syclover这个浏览器,可能就要伪造了 User-Agent(用户代理)字符串是Web浏览器用于声明自身型号版本并随HTTP请求发送给Web...
buuctf web 极客挑战2019
08-24
对于BUUCTF Web极客挑战2019,我了解到它是一个网络安全比赛,由北方工业大学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的题目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

时光不改

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值