web:[极客大挑战 2019]Http

题目

web:[极客大挑战 2019]Http_第1张图片

点进页面显示为

web:[极客大挑战 2019]Http_第2张图片

浏览了这个网站的页面发现没有什么提示信息

查看源代码

web:[极客大挑战 2019]Http_第3张图片

发现一个secret.php,点进去访问

web:[极客大挑战 2019]Http_第4张图片

点进页面显示为不知道是从如图所示的网址来,所以需要抓包修改Referer头为https://Sycsecret.buuoj.cn

Referer必须得在Connection上方,在其他位置无法发送成功请求。

web:[极客大挑战 2019]Http_第5张图片

web:[极客大挑战 2019]Http_第6张图片

修改后页面显示为

web:[极客大挑战 2019]Http_第7张图片

提示为UA为Syclover,用bp抓包修改

web:[极客大挑战 2019]Http_第8张图片

发送后显示不是来自本地

web:[极客大挑战 2019]Http_第9张图片

用bp修改添加X-Forwarded-For

web:[极客大挑战 2019]Http_第10张图片

得到flag

web:[极客大挑战 2019]Http_第11张图片

你可能感兴趣的:(BUUCTF-WEB,网络安全,web安全)