[极客大挑战 2019]HTTP 1
[极客大挑战 2019]HTTP 1审题
https://img2023.cnblogs.com/blog/3369564/202401/3369564-20240115153801822-203426682.png
看到题目页面发现没啥东西,直接看源码发现了,Secret.php
https://img2023.cnblogs.com/blog/3369564/202401/3369564-20240115153856456-348265303.png
进入查看题目,发现又是一道跟着提示达到条件的题目
https://img2023.cnblogs.com/blog/3369564/202401/3369564-20240115154011798-510609308.png
知识点
跟着题目走。
解题
[*]题目说不是来自https://Sycsecret.buuoj.cn的访问,但是我们发现没有Referer,所以我们加入表示来源
https://img2023.cnblogs.com/blog/3369564/202401/3369564-20240115154856378-2087089327.png
[*]看到回显,他又说要使用Syclover浏览器访问,我们可以更改User-Agent(用户代理)指浏览器。
https://img2023.cnblogs.com/blog/3369564/202401/3369564-20240115155119312-488396460.png
[*]更改完成后,题目要求我们从本地访问也就是让服务器认为我们的ip为127.0.0.1。
有两种方法
[*]通过X-Forwarded-For伪造
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。
[*]通过Client-ip伪造
client-ip同x-forwarded-for,也是代理服务器添加的用于转发客户端请求的真实IP地址,同样保存于请求头中。
得到flag
https://img2023.cnblogs.com/blog/3369564/202401/3369564-20240115155853087-1626584856.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]