[极客大挑战 2019]Http

最新推荐文章于 2025-06-10 18:31:30 发布
最新推荐文章于 2025-06-10 18:31:30 发布
阅读量569 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF--纸上谈兵 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42404383/article/details/108611132
本文通过一个具体的案例,详细解析了如何利用X-Forwarded-For字段进行HTTP头注入攻击,揭示了这一安全漏洞的原理及应对策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

[极客大挑战 2019]Http

题目:

在这里插入图片描述
在这里插入图片描述

分析:

根据题目HTTP字眼 ==> HTTP头注入??? 不应该,先按照题目提示来,改下请求头?
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

本地??? ==> 怎判判断本地??? ==> x-forwardfor???

X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。

X-Forwarded-For 请求头格式非常简单,就这样:

X-Forwarded-For: client, proxy1, proxy2

试试
在这里插入图片描述

解题:

GET /Secret.php HTTP/1.1
Host: node3.buuoj.cn:29319
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
User-Agent: Syclover
Referer: https://www.Sycsecret.com
X-Forwarded-For: 127.0.0.1
Upgrade-Insecure-Requests: 1

flag{fb5928de-1953-4a21-a63a-9141e7aefaa3}

总结:

ag{fb5928de-1953-4a21-a63a-9141e7aefaa3}

很基础的知识,考的HTTP请求头,还好学开发时学过了,解题很顺畅。

CTF学习笔记——[极客挑战 2019]Http
Obs_cure的博客
01-10 531
一、[极客挑战 2019]Http 1.题目 2.解题步骤 查看源码的时候发现这里有链接 然后访问发现 猜测需要用burp抓包更改请求头再访问 更改之后提示syclover浏览器访问,于是继续更改 啊 这…他说我只能在本地读取… 这里没遇见过…百度了一下发现可以用XFF头进行伪造,于是继续构造 放包后得到flag 3.总结 主要考察了burp和伪造http协议,以及了解了XFF请求头绕过ip的方法。 4.参考资料 伪造XFF头绕过服务器IP过滤 - dubhe= -博客园 ...
[BUUCTF][极客挑战 2019]Http
朋克归零膏的博客
10-13 875
在CTF中修改http头的操作常有BUUCFT另一题,常用到的值User-AgentReferer。
[极客挑战 2019]Http通关详解
最新发布
m0_74135202的博客
06-10 421
【代码】[极客挑战 2019]Http通关详解。
BUUCTF_[极客挑战 2019]Http解题思路
时光不老的博客
01-10 624
[极客挑战 2019]Http
极客挑战2019http(改包)和BUU BRUTE 1 (爆破)
m0_73770225的博客
11-27 1198
极客挑战2019http(改包)和BUU BRUTE 1 (爆破)
BUUCTF[极客挑战 2019]Http1
qq_35874748的博客
10-18 652
打开题目后: 首先F12找线索,果然发现了一个名为Secret.php的文件,打开它
BUUCTF系列 // [极客挑战 2019] Http
qq_45805420的博客
09-25 1694
前言 本题知识点:常用 HTTP 请求头 WP 打开题目,在页面中没有发现明显的提示,查看网页源码,经搜索后发现一个似乎存在猫腻的网页 ‘Secret.php’ 访问该页面,得到第一个提示 题目要求我们从 ‘https://www.Sycsecret.com’ 进入该页面,故使用 burpsuite 抓包,在请求头中增加 Referer 字段即可 Referer HTTP Referer是 header 的一部分,当浏览器向 Web 服务器发送请求的时候,一般会带上 Referer,告诉服务器该网页是从
[极客挑战 2019]Http(X-Forwarded-For+UA+Referer)
2401_84499442的博客
07-09 356
是一个 HTTP 头部字段,通常用于表示 HTTP 请求经过的代理服务器链路中的客户端 IP 地址。这个字段在代理服务器转发请求给后端服务器时非常有用,尤其是在反向代理和负载均衡环境下。这个页面显示的内容,这里就涉及到第一个知识点,Referer-表示服务器用户从哪个页面跳转过来的。简单的来说,就是请求包发送过程中所经过代理服务器的IP信息,那这里我们就需要更改从本机访问。写这一题的目的是为了了解BP时发送的请求包的内容。那这里就添加X-Forwarded-For。首先,显示页面没有任何有用的信息。
极客挑战 2019Http
Lixunzhe0112的博客
01-17 726
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。所以直接在请求头下面加入X-Forwarde-For:127.0.0.1再发送就能获取flag。然后又提示我们需要使用Syclover的浏览器,那就是User-Agent。X-Forwarded-For这个参数可以进行代理。这里做了个referer的拦截,我们直接用bp。然后就没思路了,去查找了一下HTTP的请求头。再修改相应的内容重新发送。
CTF-Web-[极客挑战 2019]Http
归子莫的博客
05-03 6728
CTF-Web-[极客挑战 2019]Http 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Web类,[极客挑战 2019]Http 打开题目的实例 思路 看到http类的题目,打开burp,...
BUUCTF -> Web [极客挑战 2019]Http(详解)
m0_72986388的博客
09-25 3083
之后界面会显示“No!" 是一个URL,指向一个名为 "Sycsecret.buuoj.cn" 的网站或资源。这样就会得到flag之后将flag输入到靶场中这道题就完成了。User-Agent:标识发起请求的用户代理(常为浏览器)。(因为做笔记,所以重新做的,所以显示早就解出这道题了。Referer(请求头字段)表示指示请求的来源页面。所以我们要把此段的浏览器改为Syclover浏览器。"理解为一个链接地址。这样我们就得到了解决本题的有用信息。
极客挑战 2019]Http 1
01-11
### 关于2019极客挑战中的HTTP 1 #### X-Forwarded-For 头部的作用与应用实例 X-Forwarded-For 是一个 HTTP 扩展头部,最初由 Squid 缓存代理软件引入用于表示 HTTP 请求的真实客户端 IP 地址[^1]。尽管此头部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值