当前位置:首页 >CTF >BUU > 正文内容

BUUCTF_web_第14题:[极客大挑战 2019]Http

BUU七星1个月前 (01-23)

打开是个常规的主页,依旧是祖传的f12,仔细看,有个Secret.php

这是仅有的线索, 访问一下喽:

提示:

It doesn't come from 'https://www.Sycsecret.com'

界面好看, 截下来:

意思就是说, 你不是从这个网站来的, 我们可以给他伪造一下http头:

开启burpsuite抓包, 添加一个Referer来伪造:

返回说:

Please use "Syclover" browser

请使用Syclover浏览器, 那就接着改嘛:

返回说要本地访问, 接着加, X-Forwarded-For:











qixingbit.com|QQ:320406741

相关文章

BUUCTF_web_第四题:[极客大挑战 2019]Havefun

BUUCTF_web_第四题:[极客大挑战 2019]Havefun

开局一直猫, flag全靠f12:<!--˂!----˃$cat=$_GET['cat'];echo $cat;if($cat=='dog'){    echo 'Syc{c...

BUUCTF_web_第六题:[ACTF2020 新生赛]Include

BUUCTF_web_第六题:[ACTF2020 新生赛]Include

发现是一道include的题, 啥提示也没有,点一下给个tips, 获取到一个?file=flag.php很自然想到了include可以把文件base64再读取文件:/?file=php:/...

BUUCTF_web_第七题:[极客大挑战 2019]Secret File

BUUCTF_web_第七题:[极客大挑战 2019]Secret File

f12, 获得Archive_room.php访问, 嗯, 他说什么什么快没看清, 不要紧, 我们可以让他慢下来开burpsuite, 抓取回显包, 得到secr3t.php访问,成功获得源码high...

BUUCTF_web_第九题:[GXYCTF2019]Ping Ping Ping

BUUCTF_web_第九题:[GXYCTF2019]Ping Ping Ping

是个ping, 传入/?ip=127.0.0.1看看命令执行, 立刻想到||管道符:/?ip=127.0.0.1||ls不行, 那就封号;/?ip=127.0.0.1;ls成功获得两个文件名flag....

BUUCTF_web_第十题:[ACTF2020 新生赛]Exec

BUUCTF_web_第十题:[ACTF2020 新生赛]Exec

打开靶场, 和之前的linux系统命令执行一样, 但是这个没过滤, 直接127.0.0.1||cat /flag或者127.0.0.1;cat /flag就好了...

BUUCTF_web_第二题:[强网杯 2019]随便注

BUUCTF_web_第二题:[强网杯 2019]随便注

第二题: [强网杯 2019]随便注 测试一下, 1'# 返回正常, 发现是字符注入,尝试show一下database: 1';show databases;%23 发现出结果了:...

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。