当前位置:首页 > CTF > BUU > 正文内容

BUUCTF_web_第14题:[极客大挑战 2019]Http

七星6个月前 (01-23)BUU361

打开是个常规的主页,依旧是祖传的f12,仔细看,有个Secret.php

这是仅有的线索, 访问一下喽:

提示:

It doesn't come from 'https://www.Sycsecret.com'

界面好看, 截下来:

意思就是说, 你不是从这个网站来的, 我们可以给他伪造一下http头:

开启burpsuite抓包, 添加一个Referer来伪造:

返回说:

Please use "Syclover" browser

请使用Syclover浏览器, 那就接着改嘛:

返回说要本地访问, 接着加, X-Forwarded-For:











七星|qixingbit.com

相关文章

 BUUCTF_web_第三题:[极客大挑战 2019]EasySQL

BUUCTF_web_第三题:[极客大挑战 2019]EasySQL

第三题: [极客大挑战 2019]EasySQL 常规SQL注入, 没啥说的, 好多种解法, 既然是登录, 这里就写一个万能用户: 1' or 1=1# 密码随便填, 就能getflag...

BUUCTF_web_第八题:[极客大挑战 2019]LoveSQL

BUUCTF_web_第八题:[极客大挑战 2019]LoveSQL

打开之后, 和之前的类似, 万能密码 1' or 1=1#登录成功,给了一个admin和一串md5, md5解密失败.只能常规注入了.给了个灵魂试探:用 sqlmap 是没有灵魂的那就手工注入一下,巩...

BUUCTF_web_第四题:[极客大挑战 2019]Havefun

BUUCTF_web_第四题:[极客大挑战 2019]Havefun

开局一直猫, flag全靠f12:<!--˂!----˃$cat=$_GET['cat'];echo $cat;if($cat=='dog'){    echo 'Syc{c...

BUUCTF_web_第十题:[ACTF2020 新生赛]Exec

BUUCTF_web_第十题:[ACTF2020 新生赛]Exec

打开靶场, 和之前的linux系统命令执行一样, 但是这个没过滤, 直接127.0.0.1||cat /flag或者127.0.0.1;cat /flag就好了...

BUUCTF_web_第12题:[极客大挑战 2019]Knife

BUUCTF_web_第12题:[极客大挑战 2019]Knife

本题考查了中国菜刀的使用, 及简单一句话理解阅读题目打开, 发现给了一句话:直接用中国菜刀连上:在根目录下直接找到了flag...

BUUCTF_web_第15题:[极客大挑战 2019]PHP_序列化详解

BUUCTF_web_第15题:[极客大挑战 2019]PHP_序列化详解

打开题目, 有个猫, 先云吸个猫再说. 然后提到了备份网站. 既然是备份那自然想到的是www.rar或者zip之类的, 再不行就爆破一下路径也就出来了, 这个题是www.zip, 直接访问,...

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。