HGAME 2024 WEEK 1 :web ezHTTP

题目:

HGAME 2024 WEEK 1 :web ezHTTP_第1张图片

看到这个就知道是文件头伪造

第一想法就是Referer伪造

所以伪造 Referer: vidar.club

HGAME 2024 WEEK 1 :web ezHTTP_第2张图片

然后构造伪造的Referer

HGAME 2024 WEEK 1 :web ezHTTP_第3张图片

然后提示通过那些东西访问页面,User-Agent: 是构造你浏览器访问信息的,所以复制右边那一串替代就好了

HGAME 2024 WEEK 1 :web ezHTTP_第4张图片

然后要求我们从本地访问,那就是伪造ip

一般想到两个方法:

X-Forwarded-For: 127.0.0.1

Client-ip: 127.0.0.1

但是本题这里构造这两个都是没有反应的,就有第三种方式

X-Real-IP: 127.0.0.1

HGAME 2024 WEEK 1 :web ezHTTP_第5张图片

然后我们就可以得到右边有一长串的东西

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJGMTRnIjoiaGdhbWV7SFRUUF8hc18xbVAwclQ0bnR9In0.VKMdRQllG61JTReFhmbcfIdq7MvJDncYpjaT7zttEDc

我们把它base64解码一下看看

HGAME 2024 WEEK 1 :web ezHTTP_第6张图片

最后的得到的flag为:

hgame{HTTP_!s_1mP0rT4nt}


这次主要查漏补缺了知识点伪造ip地址还有:X-Real-IP:这种方式

 

你可能感兴趣的:(网络,网络安全)