[极客大挑战 2019]Http1

 首先进入靶机

利用burp suite抓包

选择send to Repeater

查看网页源代码

发现名为secret.php

在http头后上/secret.php然后再点击发送，查看界面结果是什么

 

显示不是来自https://www.Sycsecret.buuoj.cn这个网站的，结合题目http，说明是Refer的问题

 我们通过bp抓包修改Refer的值

修改后发现提示说明我们使用的不是Syclover浏览器，修改UA 的值为Syclover

它的意思是我们只能用本地地址来访问

那么就需要修改X-Forwarded-For的值为127.0.0.1

最后得到flag

Referer

HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器该网页是从哪个页面链接过来的，服务器因此可以获得一些信息用于处理。Referer 常用在防盗链和防恶意请求中。

Referer是 HTTP请求header 的一部分，当浏览器（或者模拟浏览器行为）向web 服务器发送请求的时候，头信息里有包含 Referer

User-Agent

中文名为用户代理，简称 UA，它是一个特殊字符串头，使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及浏览器版本、浏览器渲染引擎、浏览器语言、浏览器插件等。一些网站常常通过判断 UA 来给不同的操作系统

X-Forwarded-For

X-Forwarded-For（XFF）是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。