极客大挑战 2019-WEB-Http

复现地址:https://buuoj.cn/challenges#[极客大挑战%202019]Http

考察点: HTTP文件请求头

访问主页后,ctrl+U 查看源代码,发现 Secret.php


image.png

访问显示 it's not come from www.sycsecret.com

image.png

抓包增加文件头 Referer:https://www.Sycsecret.com 显示只能本地读取

image.png

增加X-Forwarded-For: 127.0.0.1,显示出flag


image.png

你可能感兴趣的:(极客大挑战 2019-WEB-Http)