HTTP协议抓包分析

题目：https://buuoj.cn/challenges#[极客大挑战2019]Http

 

工具：

浏览器：火狐浏览器

抓包工具：burpsuite

 

步骤：

1.打开网站，浏览网站，未发现异常：

2.查看页面源代码，发现其中的secret.php文件：

 3.访问该文件，可以发现一个网址：

 4.打开burpsuite进行抓包，将包发送到重发器中：

 5.在头部输入Referer:https://Sycsecret.buuoj.cn，点击发送，可以看到需要使用Syclover浏览器：

6.将User-Agent中的火狐浏览器改为Syclover，点击发送，可以看到需要使用本机地址：

 7.在头部输入x-forwarded-for:127.0.0.1，点击发送，得到flag：

 

总结：

　　X-Forwarded-For表示HTTP请求端真实 IP。

　　Referer表示当前请求页面的来源页面的地址。