buuctf web [极客大挑战 2019]Http

进入题目上下翻找了一下，没有什么突破口

检查了一下源码，有一个跳转页面 

点击页面，跳转到了新的地方

 新页面里没有别的跳转接口

但是页面中有提示：It doesn't come from 'https://Sycsecret.buuoj.cn'

打开burp

页面提示要求来自https://Sycsecret.buuoj.cn

所以，我们添加Referer:https://Sycsecret.buuoj.cn

注意：所有添加的内容都应该放在Connection: close上

点击send，新的提示：Please use "Syclover" browser

要求使用Syclover浏览器

这次添加User-Agent:Syclover

这回提示：No!!! you can only read this locally!!!

要求在本地读取

添加X-Forwarded-For:127.0.0.1

flag

补充内容：
User-Agent: //一般这个地方也需要改，看题目给的啥提示来改.
//UA的后面接上请求的浏览器 操作系统的信息等.

//检测了浏览器来源(使用User-Agent头进行绕过)
 
X-Forwarded-For：//如果提示只能由本地访问，这里内容必须改为127.0.0.1如果给了其他ip,那就改为其他IP地址.

//检测了来源IP(使用X-Forwarded-For头进行绕过)

（X-Forwarded-For这个参数可以进行代理
X-Forwarded-For（XFF）是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段）
 
Referer：//这地方也需要改，看看题目给的提示，看给哪个url。

//检测了域名来源(使用Referer头进行绕过)
 
Cookie://如果提示只能由管理员访问，就必须把Cookie的内容改为admin。
以上为HTTP请求.