[极客大挑战]http
打开题目链接,得到一个页面
首先查看源码,在源码里发现了Secret.php,前往查看
要求我们是从https://Sycsecret.buuoj.cn这个网站过去的,打开bp抓包,添加referer头
添加之后,提示我们要从Syclover这个浏览器内打开,继续抓包修改UA值
之后他又提示我们从本地查看,使用X-Forwarded-For来伪造本地地址
得到了flag
Begin of HTTP
打开题目链接
要求我们用get方式对ctf值传入任意值
打开bp抓包进行修改
又要求我们对secret赋值而且还是POST传参,而且赋的值还得是他指定的,在右下有一串base64加密的字符串,对其进行解码后,得到了一个值,猜测是他指定的那个值
根据提示,修改cookie值,将hacker修改为ctfer
提示我们用NewStarCTF2023浏览器,修改UA头
修改完之后又说从newstarctf.com 这个网址访问的,添加referer头
又提示只有本地用户才能通过。用XFF伪造IP地址
添加XFF后,发现没有回应,尝试其他伪造ip的方式,发现当X-Real-ip时有回应,并出现了flag
得到了flag
[NewStarCTF 公开赛赛道]HTTP
提示我们用GET传参的方式对name赋值,因此对name赋值为admin
又提示我们对key赋值,而且赋值为他给定的值,在源码里发现了key值
打开bp抓包修改
提示我们不是admin用户,对此将cookie值后的guest修改为admin
修改后,给出了flag
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
