[极客大挑战 2019] HTTP【检验理论型题目】之解题思路

admin
admin
admin
138969
文章
114
评论
2022年7月21日18:48:36评论46 views字数 786阅读2分37秒阅读模式

[极客大挑战 2019]HTTP

[极客大挑战 2019] HTTP【检验理论型题目】之解题思路



本次题目目的:检验小白HTTP协议是否掌握牢固

BUUCTF靶机地址:

node4.buuoj.cn:27655

🌸三部曲之一:先看

打开网页,好嘛在这里卖鞋🐶


[极客大挑战 2019] HTTP【检验理论型题目】之解题思路



ctrl+U 走起去查看网页源代码

发现在源码中有意思的一个语句


[极客大挑战 2019] HTTP【检验理论型题目】之解题思路



<a style="border:none;cursor:default;" onclick="return false" href="Secret.php">氛围</a>

秘密页面嘿嘿, 咋们学过HTML了解到

A标签的作用是跳转,我们去访问这个网页显示

访问之后说:


[极客大挑战 2019] HTTP【检验理论型题目】之解题思路


必须从这个https://www.Sycsecret.com点过来的才有效

多说无益,上Burp

🌸三部曲之二:开抓


[极客大挑战 2019] HTTP【检验理论型题目】之解题思路


[极客大挑战 2019] HTTP【检验理论型题目】之解题思路



直接丢Burp里面抓包

🌸三部曲之三:伪造

访问秘密地址


[极客大挑战 2019] HTTP【检验理论型题目】之解题思路


GET /Secret.php/ HTTP/1.1

访问之后说:


[极客大挑战 2019] HTTP【检验理论型题目】之解题思路



你必须从这个https://www.Sycsecret.com点过来的

🌸八嘎!大大滴坏!

在请求报文消息报头中加入


[极客大挑战 2019] HTTP【检验理论型题目】之解题思路



Referer(花姑娘🌸,我是从这里过来滴!)

Referer: https://www.Sycsecret.com


[极客大挑战 2019] HTTP【检验理论型题目】之解题思路


又告诉你必须要使用Syclover这个浏览器访问

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Syclover

又说必须本地打开才行

怎么样才能本地打开呢?

[极客大挑战 2019] HTTP【检验理论型题目】之解题思路


用到X-Forwarded-For这个扩展头



[极客大挑战 2019] HTTP【检验理论型题目】之解题思路



设置X-Forwarded-For: 127.0.0.1
或者X-Forwarded-For: localhost

修改完之后查看回显发现flag值

然后提交

[极客大挑战 2019] HTTP【检验理论型题目】之解题思路



就告一段落了

总之非常适合检验小白学习HTTP协议的能力(不是水)

原文始发于微信公众号(猫因的安全):[极客大挑战 2019] HTTP【检验理论型题目】之解题思路

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月21日18:48:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   [极客大挑战 2019] HTTP【检验理论型题目】之解题思路https://cn-sec.com/archives/1190874.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息