CTF小白从0开始日记（3）

咕咕咕了好久，博主总算记起自己的优快云账号密码了（不是
最近有个校赛，看着奖品还有点吸引力，最重要的是表现好可以进校队打比赛！！想想还是有点小激动
因为咕了太久，今天要记录的东西还是有点多

软件安装

首先是BP和蚁剑我总算装上去了，之前学长给讲课的时候一直没装，干听也听不明白，上个周末总算装上去了，过程还是有点曲折。

首先BP（burpsuite）的安装，学长发了一个1.几的安装包，是破解版的，安装需要使用密钥，感觉挺麻烦的，于是自己去官网下载了一个社区版本的，好处是安装的时候不用密钥，更方便；坏处是，各种教程和学长讲课都是用的旧版本，UI界面有不同，可能有的不一样，比如我在书上看到Reperter重发模块当中的Header可以更方便操作头文件（？好像是这么说的），但是2020.11这个版本中并没有这个查看框。然后要抓包的话还要在软件内配置，可以去网上看看，我是按照《CTF特训营》当中的步骤操作的。

安装BP之前还要安装Java，这个也有点讲究，Java11以上的版本不用配置环境变量，但是BP没有完全适配，Java8倒是完全适配了，但是安装的时候环境变量的配置还是挺麻烦。（我安装的是Java15，提示有可能有bug，但是目前还没发现）
然后就是蚁剑了，这个直接百度也能找到，下载了加载器之后还要下载程序包，别忘了。

还有就是后面misc要用到的Stegsolve，这个链接在这：http://www.caesum.com/handbook/Stegsolve.jar

web

在攻防世界上用蚁剑和BP做了两道比较有代表性的很简单的 题目

BP的是xff-referer，利用BP抓包之后用XFF(X-Forwarded-For)改成123.123.123.123，然后再改变请求头为来自谷歌，直接在代码里面添加Referer：(地址)，得到f