buuctf web [极客大挑战 2019]Http

最新推荐文章于 2025-04-08 20:07:54 发布
最新推荐文章于 2025-04-08 20:07:54 发布
阅读量371 收藏 1
点赞数 1
文章标签: 前端 http 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_61903191/article/details/132969361
版权
文章讲述了如何通过修改HTTP请求头中的User-Agent、Referer、X-Forwarded-For等信息,解决网页访问限制,如要求特定浏览器或只能本地访问的挑战,最终获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

进入题目上下翻找了一下,没有什么突破口

检查了一下源码,有一个跳转页面 

点击页面,跳转到了新的地方

 新页面里没有别的跳转接口

但是页面中有提示:It doesn't come from 'https://Sycsecret.buuoj.cn'

打开burp

页面提示要求来自https://Sycsecret.buuoj.cn

所以,我们添加Referer:https://Sycsecret.buuoj.cn

注意:所有添加的内容都应该放在Connection: close上

点击send,新的提示:Please use "Syclover" browser

要求使用Syclover浏览器

这次添加User-Agent:Syclover

这回提示:No!!! you can only read this locally!!!

要求在本地读取

添加X-Forwarded-For:127.0.0.1

flag

补充内容:
User-Agent: //一般这个地方也需要改,看题目给的啥提示来改.
//UA的后面接上请求的浏览器 操作系统的信息等.

//检测了浏览器来源(使用User-Agent头进行绕过)
 
X-Forwarded-For://如果提示只能由本地访问,这里内容必须改为127.0.0.1如果给了其他ip,那就改为其他IP地址.

//检测了来源IP(使用X-Forwarded-For头进行绕过)

(X-Forwarded-For这个参数可以进行代理
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段)
 
Referer://这地方也需要改,看看题目给的提示,看给哪个url。

//检测了域名来源(使用Referer头进行绕过)
 
Cookie://如果提示只能由管理员访问,就必须把Cookie的内容改为admin。
以上为HTTP请求.

BUUCTF系列 // [极客挑战 2019] Http
qq_45805420的博客
09-25 1661
前言 本题知识点:常用 HTTP 请求头 WP 打开题目,在页面中没有发现明显的提示,查看网页源码,经搜索后发现一个似乎存在猫腻的网页 ‘Secret.php’ 访问该页面,得到第一个提示 题目要求我们从 ‘https://www.Sycsecret.com’ 进入该页面,故使用 burpsuite 抓包,在请求头中增加 Referer 字段即可 Referer HTTP Referer是 header 的一部分,当浏览器向 Web 服务器发送请求的时候,一般会带上 Referer,告诉服务器该网页是从
buuctf [极客挑战 2019]FinalSQL
zoixsoadji的博客
03-30 874
进入题目,又是这个作者,试试万能密码 经过实验,双写什么的都没用。 作者说的神秘代码,点进去发现url变了 发现并没有什么卵用…… 正当我没有头绪的时候,我突然看到一句话,审题真的很重要: 盲注!这里附上佬的脚本: import requests import time url = "http://def9937b-1746-4f41-98c7-a2b55b95664a.node4.buuoj.cn:81/search.php" temp = {"id" : ...
BUUCTF WEB[极客挑战 2019]Http
Y1da的博客
04-16 333
BUUCTF WEB[极客挑战 2019]Http 打开环境后F12查看源代码,发现一个跳转链接 <a style="border:none;cursor:default;" onclick="return false" href="Secret.php">氛围</a> 尝试访问Secret.php,提示 It doesn't come from 'https://Sycsecret.buuoj.cn' 抓包,修改http请求头 原请求包 GET /Secre
[极客挑战 2019]BabySQL
最新发布
2201_75522495的博客
04-08 457
这个题目还是挺有意思的,最让人烦的是不能输入空格,当然,可以用()括号代替,但是在哪加括号又非常的困扰,还是需要量尝试。但是这只显示flag的前一部分:flag{e7d1681d-ee6f-4979-a5,这是因为报错注入最多只显示32个字符。得到后面的部分:~f-4979-a545-b5f192162b71},把两张相拼即可得到完整的flag。空格被限制了,=号也是,但是()括号和like 可以绕过此限制。分别是:id,username,password。来爆库 ,显示数据库名:geek。
buuctf -[极客挑战 2019]Http
zzqzzq11的博客
08-06 285
buuctf
BUUCTF 二 [极客挑战 2019]Http
m0_74850066的博客
06-21 291
打开以后发现啥也没有,同样先查看一下源码,找了半天啥也没找到最后找到了一个php为什么它有用呐href超链接所指向的 URL。链接不限于基于 HTTP 的 URL——它们可以使用浏览器支持的任何 URL 协议去访问一下出现了一段话。
[极客挑战 2019]Http(X-Forwarded-For+UA+Referer)
2401_84499442的博客
07-09 335
是一个 HTTP 头部字段,通常用于表示 HTTP 请求经过的代理服务器链路中的客户端 IP 地址。这个字段在代理服务器转发请求给后端服务器时非常有用,尤其是在反向代理和负载均衡环境下。这个页面显示的内容,这里就涉及到第一个知识点,Referer-表示服务器用户从哪个页面跳转过来的。简单的来说,就是请求包发送过程中所经过代理服务器的IP信息,那这里我们就需要更改从本机访问。写这一题的目的是为了了解BP时发送的请求包的内容。那这里就添加X-Forwarded-For。首先,显示页面没有任何有用的信息。
BUUCTF_[极客挑战 2019]Http解题思路
时光不老的博客
01-10 603
[极客挑战 2019]Http
[BUUCTF][极客挑战 2019]Http
朋克归零膏的博客
10-13 839
在CTF中修改http头的操作常有BUUCFT另一题,常用到的值User-AgentReferer。
buuctf web 极客挑战2019
08-24
对于BUUCTF Web极客挑战2019,我了解到它是一个网络安全比赛,由北方工业学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的题目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计...
BUUCTF-Web:[极客挑战 2019]Upload
m0_56161093的博客
05-29 1048
题目 解题过程 1、上传文件 从网页上来看是上传一个图片文件,但我们不知道他的检查上传的文件,所以可以试一试上传各种文件。一般检查文件的地方有:后缀名、content-type、文件头的部分内容。 这里我们先上传一个php文件,不做任何修改。如下图: 结果如下: 2、修改文件后缀名和content-type 将文件名修改为test.phtml,绕过常规php文件后缀检测 将文件类型修改为:image/jpeg 注意:phtml一般是指嵌入了php代码的html文件,但是同样也会作为php解析 修
Header:请求头参数详解
panying1的博客
12-08 2862
Header 解释 示例 Accept 指定客户端能够接收的内容类型 Accept: text/plain, text/html,application/json Accept-Charset 浏览器可以接受的字符编码集。 Accept-Charset: iso-8859-5 Accept-Encoding 指定浏览器可以支持的web服务器返回内
BUUCTF-[极客挑战 2019]Http1
m0_74167420的博客
03-14 614
比如我在www.sojson.com 里有一个www.baidu.com 链接,那么点击这个www.baidu.com ,它的header 信息里就有:Referer=https://www.sojson.com。中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及浏览器版本、浏览器渲染引擎、浏览器语言、浏览器插件等。Referer 常用在防盗链和防恶意请求中。提示我们要使用的浏览器为:Syclover。
web-[极客挑战 2019]Http
wojiushilsy的博客
04-30 425
题目要点题目内容解题 题目要点 User-Agent Referer:Referer :请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。 X-Forwarded-For:可以被用来获取最初发起请求的客户端的IP地址 题目内容 解题 F12查看源码,发现一个页面。 查看页面。 添加Referer请求头:Referer:https://www.Syc...
极客挑战 2019Http
Lixunzhe0112的博客
01-17 686
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。所以直接在请求头下面加入X-Forwarde-For:127.0.0.1再发送就能获取flag。然后又提示我们需要使用Syclover的浏览器,那就是User-Agent。X-Forwarded-For这个参数可以进行代理。这里做了个referer的拦截,我们直接用bp。然后就没思路了,去查找了一下HTTP的请求头。再修改相应的内容重新发送。
CTF-Web-[极客挑战 2019]Http
归子莫的博客
05-03 6704
CTF-Web-[极客挑战 2019]Http 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Web类,[极客挑战 2019]Http 打开题目的实例 思路 看到http类的题目,打开burp,...
[极客挑战 2019]Http
wikey 的博客
03-30 182
HTTP Connection的 close设置允许客户端或服务器中任何一方关闭底层的连接双方都会要求在处理请求后关闭它们的TCP连接。HTTP Referer是 header 的一部分,当浏览器向 Web 服务器发送请求的时候,一般会带上 Referer,告诉服务器该网页是从哪个页面链接过来的,在这里我们需要伪造成从 ‘https://Sycsecret.buuoj.cn’ 进入。到这里就是问题所在,尝试了很多次后我发现,如果把请求头放在重发器的最下面的话,就会出现返回错误的情况,如图。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿勉要睡觉(考试版)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值