ctf题集【BUUCTF WEB】[极客大挑战 2019]Http1

最新推荐文章于 2025-03-29 11:16:57 发布
最新推荐文章于 2025-03-29 11:16:57 发布
阅读量622 收藏 13
点赞数 8
分类专栏: CTF WEB 文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42667028/article/details/135085322
版权

查看源代码,发现有一个跳转,点击进入

根据提示应该是需要添加请求头Referer

在burp中添加请求头Referer: https://Sycsecret.buuoj.cn

需要修改请求头User-Agent: Syclover

需要添加请求头X-Forwarded-For: 127.0.0.1

网络安全 | CTFCTF极客挑战2019PHP解详析(Dirsearch+php反序列化)
等风来
08-24 7314
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
BUUCTF[极客挑战 2019]Http1
qq_35874748的博客
10-18 622
打开目后: 首先F12找线索,果然发现了一个名为Secret.php的文件,打开它
BUUCTF-[极客挑战 2019]Http1
Monica的博客
09-14 1704
目录 目:​ 知识点: Referer User-Agent X-Forwarded-For 分析: 目: 知识点: Referer HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。Referer 常用在防盗链和防恶意请求中。 Referer是HTTP请求header的一部分,当浏览器(或者模拟浏览器行为)向web服务器发送请求的时...
BUUCTF [极客挑战 2019]Http
最新发布
2401_86572133的博客
03-29 952
如 比 从 网 页 /icconcept/index.jsp 中 点 击 一 个 链 接 到 网 页/icwork/search , 在 向 服 务 器 发 送 的 GET/icwork/search 中 的 请 求 中 , Referer 是从http://hostname:8080/icconcept/index.jsp。Cookie 是在浏览器中寄存的小型数据体,它可以记载和服务器相关的用户信息,也可以用来实现会话功能。:指出浏览器可以接受的语言种类,如 en 或 en-us,指英语。
buuctf [极客挑战 2019]Http1
weixin_61060664的博客
11-13 3165
buuctf过程,我是菜鸡,有问就是你对
BUUCTF:[极客挑战 2019]Http1
m0_74039457的博客
03-13 752
本篇文章是为了加固上篇文章所展示的知识点,起到补缺补漏不遗忘的作用
[网络安全 CTF] BUUCTF极客挑战2019PHP解详析(Dirsearch使用实例+php反序列化)_[极客挑战 2019]php
2401_84971538的博客
05-13 755
自我介绍一下,小编13年上海交毕业,曾经在小公司待过,也去过华为、OPPO等厂,18年进入阿里一直到现在。深知多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
[BUUCTF][极客挑战 2019]Http
朋克归零膏的博客
10-13 839
CTF中修改http头的操作常有BUUCFT另一,常用到的值User-AgentReferer。
BUUCTF——[极客挑战 2019]Secret File 1
2303_77380355的博客
03-27 290
用burpsuite抓包,发现一个注释链接。得到base64,进行解码得到flag。F12查看源码,进入链接。进入flag.php查看。F12查看源码,没有东西。点击SECRET进入。F12源码里没有东西。进入链接发现一串源码。
BUUCTF_[极客挑战 2019]Http思路
时光不老的博客
01-10 603
[极客挑战 2019]Http
BUUCTF——极客挑战 2019]Http 1
qq_47271638的博客
06-29 4638
首先要了解一下知识点 1.什么是 Referer? 就是你点击A标签 Referer的信息告诉服务端你从哪里点击出来的。 2.什么是User-Agent? User Agent中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。可以抓包进行修改其中的值。 3.什么是X-Forwarded-For? X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器
web buuctf [极客挑战 2019]Http1
weixin_44214568的博客
08-18 1281
1.开F12进到主页面,先查看源代码,发现php文件 2.链接进入 node4.buuoj.cn:26912/Secret.php 3.目是关于http的,http的考点多都是在消息头上,根据网页提示,需要修改页面的来源 也就是修改消息头的Referer参数 关于referer参数,正常页面输入url进入其他网页是不用配置referer参数的,但是在通过超链接进入其他网页的时候,客户端的请求会配置上referer参数,也就是超链接所在的url。 我们可以通过burpsuit修改参数,打..
[极客挑战 2019]Http1(BUCTF在线评测)
邓霖涛的博客
08-10 3284
得到flag{8d8ea9d6-86ae-4f8d-8f8e-e10d4b1bd9ef}you can only read this locally!浏览器修改不了Referer的值,换工具抓包工具(修改浏览器代理到抓包工具)搜索下看看有没有别的链接,如标签,发现有两处a标签,特别是第二处。按提示修改请求头X-Forwarded-For:localhost。鼠标右键发送到重发器修改Referer的值,测试请求。页面a标签包裹的"氛围"二字,可以点击了。F12调试该页面,跟踪该get网络请求。......
BUUCTF——[极客挑战2019]Http-1
weixin_62248541的博客
11-25 438
接下来的思路就是伪造http请求头,先伪造referer字段:根据提示接下来就是伪造User-Agent字段:
[极客挑战 2019]Http 1
weixin_45674567的博客
06-04 1686
查看源码 要来自https://www.Sycsecret.com,那就在Header信息里加Referer, 要使用Syclover浏览器 要本地才能读 flag{f4771669-8eb6-42cd-975a-7ac9c932f38c}
BUUCTF---[极客挑战 2019]Http1
2201_75556700的博客
03-03 725
7.在左边添加Referer:https://Sycsecret.buuoj.cn来表示来源,点击go,右边提示请使用“Syclover”浏览器。3.点进去页面提示It doesn't come from 'https://Sycsecret.buuoj.cn'5.在原来的页面url后面加上/Secret.php,同时打开抓包工具,点击回车,就可以抓包了。2.来到页面,ctrl+u查看源码,仔细观察会看到一个.php的跳转页面。4.页面提示它不是来源于这个网址,我们需要用bp抓包对数据进行修改。
BUUCTF [极客挑战 2019]Http1
Hrain7的博客
11-01 201
进入靶场 查看源代码,发现Secret.php 打开Secret.php
极客挑战 2019]Http 1
01-11
### 关于2019极客挑战中的HTTP 1 #### X-Forwarded-For 头部的作用与应用实例 X-Forwarded-For 是一个 HTTP 扩展头部,最初由 Squid 缓存代理软件引入用于表示 HTTP 请求的真实客户端 IP 地址[^1]。尽管此头部并非 HTTP/1.1 (RFC 2616) 的一部分,但它已成为行业内的事实标准,并最终被纳入到 RFC 7239 中成为正式的标准之一。 在一个具体的 CTF 目场景下,当尝试访问某个隐藏文件时遇到权限问,通过抓取并分析网络请求数据包可以发现服务器对于 `Referer` 和 `User-Agent` 等头部字段有着严格的要求[^4]。为了绕过这些限制获取目标资源,在修改上述两个头部的同时还需要设置 `X-Forwarded-For` 来模拟合法的本地请求环境,从而成功取得 flag。 #### 实际操作案例展示 假设存在如下情况: - 访问特定 URL 返回错误提示:“不是来自本网站” - 修改 Referer 后仍然无法正常加载页面 - 更改 User-Agent 至指定版本依旧遭到拒绝 - 加入 X-Forwarded 参数设定为内网IP地址范围后顺利解决问 这表明在处理某些具有特殊安全机制保护的目标站点时,理解并合理运用各种 HTTP 请求头信息是非常重要的技能点。 ```python import requests headers = { 'Referer': 'http://example.com', 'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0)', 'X-Forwarded-For': '127.0.0.1' } response = requests.get('http://target-site-url', headers=headers) print(response.text) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值