buuctf web [极客大挑战 2019]Http

进入题目上下翻找了一下,没有什么突破口

buuctf web [极客大挑战 2019]Http_第1张图片

检查了一下源码,有一个跳转页面 

buuctf web [极客大挑战 2019]Http_第2张图片

点击页面,跳转到了新的地方

 新页面里没有别的跳转接口

但是页面中有提示:It doesn't come from 'https://Sycsecret.buuoj.cn'

buuctf web [极客大挑战 2019]Http_第3张图片

打开burp

页面提示要求来自https://Sycsecret.buuoj.cn

所以,我们添加Referer:https://Sycsecret.buuoj.cn

注意:所有添加的内容都应该放在Connection: close上

buuctf web [极客大挑战 2019]Http_第4张图片

点击send,新的提示:Please use "Syclover" browser

要求使用Syclover浏览器

buuctf web [极客大挑战 2019]Http_第5张图片

这次添加User-Agent:Syclover

buuctf web [极客大挑战 2019]Http_第6张图片

这回提示:No!!! you can only read this locally!!!

要求在本地读取

添加X-Forwarded-For:127.0.0.1

buuctf web [极客大挑战 2019]Http_第7张图片

flag

buuctf web [极客大挑战 2019]Http_第8张图片

补充内容:
User-Agent: //一般这个地方也需要改,看题目给的啥提示来改.
//UA的后面接上请求的浏览器 操作系统的信息等.

//检测了浏览器来源(使用User-Agent头进行绕过)
 
X-Forwarded-For://如果提示只能由本地访问,这里内容必须改为127.0.0.1如果给了其他ip,那就改为其他IP地址.

//检测了来源IP(使用X-Forwarded-For头进行绕过)

(X-Forwarded-For这个参数可以进行代理
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段)
 
Referer://这地方也需要改,看看题目给的提示,看给哪个url。

//检测了域名来源(使用Referer头进行绕过)
 
Cookie://如果提示只能由管理员访问,就必须把Cookie的内容改为admin。
以上为HTTP请求.

你可能感兴趣的:(前端,http,网络协议)