web buuctf [极客大挑战 2019]Http1

1.开F12进到主页面，先查看源代码，发现php文件

2.链接进入 node4.buuoj.cn:26912/Secret.php

3.题目是关于http的，http的考点大多都是在消息头上，根据网页提示，需要修改页面的来源

也就是修改消息头的Referer参数

关于referer参数，正常页面输入url进入其他网页是不用配置referer参数的，但是在通过超链接进入其他网页的时候，客户端的请求会配置上referer参数，也就是超链接所在的url。

我们可以通过burpsuit修改参数，打开代理后，发送到repeater，在repeater里添加referer参数

https://www.Sycsecret.com

go~

4.在response中

需要用Syclover浏览器，也就是需要改消息头的User-Agent参数

我们来看一下这个参数

UA属性的值就是浏览器、客户机的一些符号，我列出来两个UA的值

1.谷歌：User-Agent:Mozilla/5.0(Macintosh;IntelMacOSX10_7_0)AppleWebKit/535.11(KHTML,likeGecko)Chrome/17.0.963.56Safari/535.11

2.火狐：User-Agent:Mozilla/5.0(Macintosh;IntelMacOSX10.6;rv:2.0.1)Gecko/20100101Firefox/4.0.1

UA标识我就不具体写了，因为要吃饭了，这个链接放下面，大家学习一下

https://blog.csdn.net/u012175089/article/details/61199238

5.bp修改参数

6.提示需要本地访问

更改X-Forwarded-For参数，这个参数其实就是记录真实ip的，和之前一样的方法添加改成127.0.0.1就得到最后的flag了