BUU web [极客大挑战 2019]Http //http header
BUU [极客大挑战 2019]Http
burp抓包,发现response中包含Secret.php
直接访问,发现对该页面的访问不是来自'https://Sycsecret.buuoj.cn',所以无法访问
于是修改http header,增加一行referer,表明该请求是从哪个页面链接过来的。(注:Kali自带的BurpSuite社区版没有修改header的功能,需要在windows下载BurpSuite v1.7.37专业版才行)
再go,发现要用Syclover浏览器
于是修改User-Agent,在里面添加Syclover
再go,发现需要本地读取
再增加一行X-Forwarded-For 127.0.0.1将客户端的IP伪造成本地IP127.0.0.1
最终显示了flag
浙公网安备 33010602011771号