[极客大挑战 2019]Http

最新推荐文章于 2025-08-05 12:33:13 发布
原创 最新推荐文章于 2025-08-05 12:33:13 发布 · 202 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#http #网络协议 #网络

本文介绍了在CTF竞赛中如何通过修改HTTP头来解决问题,重点涉及X-Forwarded-for、User-Agent和Referer字段的使用。首先发现Secret.php文件,接着使用Burp Suite抓包,然后根据提示分别更改User-Agent为特定浏览器syclover和设置本地登录的X-Forwarded-for,最终成功获取Flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

没思路,复刻大佬wp,[极客大挑战 2019]Http(啰嗦版wp)
在CTF中修改http头的操作常用到的值:

X-Forwarded-for/X-Real-IP(当前用户的IP地址)
User-Agent(用户代理,可以知道当前访问的浏览器地址)
Referer(来源网页)

在这里插入图片描述
一、发现Secret.php,打开
在这里插入图片描述
二、burp抓包,加地址
在这里插入图片描述
在这里插入图片描述三、提示用syclover浏览器,改user-agent
在这里插入图片描述四、提示用本地登录,改X-Forwarded-for
在这里插入图片描述五、得到flag

大猫__
关注
[极客挑战 2019]Http1
2301_79964672的博客
07-23 1678
HTTP Referer(实际上正确的拼写应该是 "referrer",但遵循传统,通常写作 "referer")是一个HTTP请求头字段,它指示一个请求是从哪个页面发起的。HTTP数据包,通常指的是HTTP消息,它由两部分组成:请求行(对于请求消息)或状态行(对于响应消息),以及随后的一系列头部字段(headers),最后是消息体(body,可选)。是一个 HTTP 请求头字段,用于识别通过代理服务器或负载均衡器连接到 Web 服务器的客户端的原始 IP 地址。来分析流量来源,了解访问者的真实 IP。
[极客挑战 2019]Http通关详解
m0_74135202的博客
06-10 421
【代码】[极客挑战 2019]Http通关详解。
[极客挑战 2019]Http题解
2301_79883204的博客
11-17 574
根据提示我们接着更改User-agent就好了,User-agent一般是浏览器,我们改成。可以发现有个Secret.php文件,好像也没有其他有用的信息了,然后我们打开这个文件。可以看到页面提示,根据提示我们使用bp抓包来伪造Referer,构造Referer。点击发送,然后可以看到响应的页面渲染出现让我们使用Syclover浏览器的提示。发送,响应页面出现我们只能本地访问的提示,于是我们伪造xff。打开靶机,首先查看页面源代码。发送,flag就出来啦。
极客挑战 2019Http
4pri1
02-05 196
[极客挑战 2019]Http 在页面源代码中找到线索 进入后,这是要改referer的,可以用hackbar,也可以用bp,我选择了后者 设置好代理,开启拦截,刷新,sent to repeater,关闭拦截 加一个referer referer:https://www.Sycsecret.com 【注意报文行末加回车!!!】否则就是这样 看接下来提示,换浏览器 把报文的这个改成Syclover browser ..
极客挑战 2019Http
Lixunzhe0112的博客
01-17 726
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。所以直接在请求头下面加入X-Forwarde-For:127.0.0.1再发送就能获取flag。然后又提示我们需要使用Syclover的浏览器,那就是User-Agent。X-Forwarded-For这个参数可以进行代理。这里做了个referer的拦截,我们直接用bp。然后就没思路了,去查找了一下HTTP的请求头。再修改相应的内容重新发送。
BuuCTF -> WEB [极客挑战 2019] http
wwwyydshen的博客
05-28 690
我查了一下别的佬写的文章说这里要在下面增加一个X-Forwarded-For:127.0.0.1(我仔细的搜了一下它的意思,它是一个HTTP扩展头部,主要是为了让web服务器获取访问用户的真实IP地址,但是这个IP未必是真实的,更细致的就不再这里多做解释了感兴趣的话可以多去了解。然后我们查看网页的源代码这里我们可以右击鼠标如果你的kali是中文版的就直接能找到如果不是那你可以看到倒数第三个英文 view page source就是可以查看网页源码的,点击它!这里我进行了网址搜索结果啥也没有报错了T~T。
BUUCTF WEB 极客挑战 2019 Http
Ethan552525的博客
08-04 928
题目: 解题: 1:查看网页源代码 浏览页面,没有发现有用信息,查看源代码发现:Secret.php 2:尝试访问/Secret.php HTTP Referer Http Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器借此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我...
[极客挑战 2019]FinalSQL
末初 · mochu7
09-26 615
字段中(内容比较长,等待时间需要久一点,因为BUU发包太快会直接ban掉,就加个。测起来有点感觉过滤很奇怪。
[极客挑战 2019]Http1 题解
The_YSZL的博客
04-29 571
进而对源浏览器的相关参数进行修改,即将User-Agent修改为"Syclover" browser。得到进一步提示,进而修改访问访问源地址,添加X-Forwarder-For参数,其值可以为127.0.0.1,代表从本地访问。添加Referer,写入刚刚页面要求的访问请求源:https://Sycsecret.buuoj.cn.得到如下网页,提示已经很明显了,通过BP来修改请求头中的内容,就可以得到对应的响应。在源代码中发现有Sercret.php的存在,访问。最后即可得出flag。
[BUUCTF][极客挑战 2019]Http
朋克归零膏的博客
10-13 875
在CTF中修改http头的操作常有BUUCFT另一题,常用到的值User-AgentReferer。
BUUCTF_[极客挑战 2019]Http解题思路
时光不老的博客
01-10 624
[极客挑战 2019]Http
极客挑战2019http(改包)和BUU BRUTE 1 (爆破)
m0_73770225的博客
11-27 1198
极客挑战2019http(改包)和BUU BRUTE 1 (爆破)
BUUCTF[极客挑战 2019]Http1
qq_35874748的博客
10-18 652
打开题目后: 首先F12找线索,果然发现了一个名为Secret.php的文件,打开它
BUUCTF系列 // [极客挑战 2019] Http
qq_45805420的博客
09-25 1694
前言 本题知识点:常用 HTTP 请求头 WP 打开题目,在页面中没有发现明显的提示,查看网页源码,经搜索后发现一个似乎存在猫腻的网页 ‘Secret.php’ 访问该页面,得到第一个提示 题目要求我们从 ‘https://www.Sycsecret.com’ 进入该页面,故使用 burpsuite 抓包,在请求头中增加 Referer 字段即可 Referer HTTP Referer是 header 的一部分,当浏览器向 Web 服务器发送请求的时候,一般会带上 Referer,告诉服务器该网页是从
Servlet HTTP 状态码详解
lly202406的博客
08-05 563
1xx:信息性状态码:表示请求已接收,正在处理。2xx:成功状态码:表示请求已成功处理。3xx:重定向状态码:表示请求需要进一步的操作以完成处理。4xx:客户端错误状态码:表示客户端请求有误。5xx:服务器错误状态码:表示服务器处理请求时发生错误。了解Servlet HTTP状态码对于Servlet编程至关重要。本文详细介绍了HTTP状态码的分类、常见状态码及其含义,有助于开发者更好地理解和处理HTTP请求。在实际开发中,合理使用HTTP状态码可以提升用户体验,降低系统错误率。
Modstart 请求出现 Access to XMLHttpRequest at ‘xx‘
最新发布
qq_26450889的博客
08-05 123
这个通常是由于跨域请求导致的,需要在 http 服务器添加跨域相关头信息。宝塔服务器在 网站设置 → 站点修改 → 伪静态 处添加。在 uniapp 前端页面请求时出现类似如下错误。
HTTP各个版本对比
weixin_51380508的博客
08-04 350
24 SAP CPI 调用SAP HTTP接口
SAP CPI
08-01 370
SAP CPI 调用SAP HTTP接口
极客挑战 2019]Http 1
01-11
### 关于2019极客挑战中的HTTP 1 #### X-Forwarded-For 头部的作用与应用实例 X-Forwarded-For 是一个 HTTP 扩展头部,最初由 Squid 缓存代理软件引入用于表示 HTTP 请求的真实客户端 IP 地址[^1]。尽管此头部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值