buuctf web题 极客大挑战 http 1

最新推荐文章于 2025-04-08 20:07:54 发布
最新推荐文章于 2025-04-08 20:07:54 发布
阅读量1.5k 收藏 7
点赞数 4
分类专栏: ctf 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_50647304/article/details/109272461
版权

进去之后先查看源码,发现一个网页‘Secret.php’

点进去,题目要求我们从 ‘https://www.Sycsecret.com’ 进入该页面。

该题考的是http协议和请求头相关知识,一般放到burp suite中抓包改包

先抓包,并发送到repeater:

根据题目提示添加referer

Referer: https://www.Sycsecret
最低0.47元/天 解锁文章
BUUCTF[极客挑战 2019]Http1
qq_35874748的博客
10-18 624
打开目后: 首先F12找线索,果然发现了一个名为Secret.php的文件,打开它
BUUCTF Web [极客挑战 2024]Secret File
2401_86454391的博客
09-04 944
进入链接以后是一个「文字」页面,没有什么特别的功能。
buuctf http 1
qq_74020399的博客
04-04 412
buuctf http 1
[极客挑战 2019]BabySQL
最新发布
2201_75522495的博客
04-08 463
这个目还是挺有意思的,最让人烦的是不能输入空格,当然,可以用()括号代替,但是在哪加括号又非常的困扰,还是需要量尝试。但是这只显示flag的前一部分:flag{e7d1681d-ee6f-4979-a5,这是因为报错注入最多只显示32个字符。得到后面的部分:~f-4979-a545-b5f192162b71},把两张相拼即可得到完整的flag。空格被限制了,=号也是,但是()括号和like 可以绕过此限制。分别是:id,username,password。来爆库 ,显示数据库名:geek。
BUUCTF WEB HTTP1
qq_41696858的博客
08-22 429
考的就是HTTP的几个header 打开页面,查看页面源码,发现secret.php,打开查看,发现it doesn’t come from ‘https://www.Sycsecret.com’ 那么第一个hint就出来了,referer头,加了以后,报第二个错,Please use “Syclover” browser,也很明显,User-Agent:Syclover 加了以后报第三个错,No!!! you can only read this locally!!!,很显现的X-Forwarded-
buuctf [极客挑战 2019]Http1
weixin_63289925的博客
04-07 5091
啥也没有,查看网页源代码 看到了一个不一样的东西,url+/Secret.php进行访问 图是我们不是从https://Sycsecret.buuoj.cn这个地方来的,我们就欺骗它从这个地方去试试 需要使用到HTTP Referer伪造 Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。” 方法一:使用bp抓包,在最后一行加上Referer:https://...
BUUCTF——极客挑战 2019]Http 1
qq_47271638的博客
06-29 4732
首先要了解一下知识点 1.什么是 Referer? 就是你点击A标签 Referer的信息告诉服务端你从哪里点击出来的。 2.什么是User-Agent? User Agent中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。可以抓包进行修改其中的值。 3.什么是X-Forwarded-For? X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器
[BUUCTF][极客挑战 2019]Http
朋克归零膏的博客
10-13 840
在CTF中修改http头的操作常有BUUCFT另一,常用到的值User-AgentReferer。
BUUCTF-[极客挑战 2019]PHP 1
qq_57345310的博客
10-13 832
打开目,首先是一只猫,真可爱。 首先我们根据目提示,用dirsearch扫描目录。(按理说御剑也是可以的,但我没有尝试)但要注意,可能会扫不出来备份文件,多扫几次就出来了。如果没有dirsearch,上百度上搜,有很多安装教程和使用教程 最终我们扫到一个备份文件.www.zip 于是我们回到网页,拼接www.zip后就下载到了源码,解压后,可以看见里面有几个文件 但很可惜,flag.php文件里的flag是假的。但这里还是...
BUUCTF_[极客挑战 2019]Http思路
时光不老的博客
01-10 607
[极客挑战 2019]Http
BUUCTF:[极客挑战 2019]Http1
m0_74039457的博客
03-13 763
本篇文章是为了加固上篇文章所展示的知识点,起到补缺补漏不遗忘的作用
BUUCTF http
borrrrring的博客
10-04 1879
打开网站我们可以看到 翻完网页发现没有什么有用的信息 查看源代码 我们发现这里有一个连接指向Secret.php 我们打开这个网站看看 根据目提示这个是与http协议有关的 我们先进行抓包 根据图片页面提示 我们要求这个是从www.Sycsecret.com这个页面访问的,所以我们在页面中添加referer信息,运行得到 根据返回信息,我们可以看到需要更换浏览器 需要从本地访问即X-Forwarded-For:127.0.0.1 得到flag ps: http协议 要求从某个IP或者主机
BUUCTF-[极客挑战 2019]Http1
Monica的博客
09-14 1711
目录 目:​ 知识点: Referer User-Agent X-Forwarded-For 分析: 目: 知识点: Referer HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。Referer 常用在防盗链和防恶意请求中。 Referer是HTTP请求header的一部分,当浏览器(或者模拟浏览器行为)向web服务器发送请求的时...
X-Forwarded-For 学习
weixin_43460822的博客
09-17 1033
** 定义 ** X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 ** 格式编辑 ** 这一HTTP头一般格式如下: X-Forwarded-For: client1, proxy1, proxy2, proxy3 其中的值通过一个 逗号+空格 把多个IP地址区分开, 最左边(client1)是最原始...
Buuctf_web:Http
羽的博客
07-05 273
老实说这一步在HTML中找这个链接我是没想到的,也没找到这个。 我的目光都被几个绿色的注释吸引了。 我甚至还去扫了一下: 这里可以看到一个secret.php 文件。 有秘密就要去看看。 从这里开始就明白为什么目要叫Http了。 关于http不知道的就先了解一下吧 抓包 改请求头。 返回这个: 再改: 再返回这个 再改: 最终拿到了 ...
BUU(http1)
m0_65151172的博客
04-08 192
要注意的是伪造的东西不能放在发送包的尾部,只能穿插在中间否则执行不成功,没学很透不懂。界面发生变化,显示要使用Syclover浏览器访问,我们使用BP抓个包。他显示我们不来自Sycsecret.buuoj.cn这个网站。然后显示我们必须要本地访问,欧克,那我们再伪造本地访问。一开始就是一个介绍界面没有什么东西,F12去找一下。在这找到secret.php访问一下。那我们就修改referer。
BUUCTF Web HTTP
Fab1an的博客
07-07 237
【网络基础】HTTP协议 | 狼组安全团队公开知识库 (wgpsec.org)
buuctf web 极客挑战2019
08-24
对于BUUCTF Web极客挑战2019,我了解到它是一个网络安全比赛,由北方工业学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值