极客大挑战2019 Http

ZJ Lv100
  2024-09-12 2024-09-12 Created   2024-12-11 01:20:35 2024-12-11 01:20:35 Updated      381 Words  1 Mins  

[极客大挑战 2019]Http

前言

出自BUUCTF 练习场,也有相关的配套课本(我看的是《CTF实战 从入门到提升》,感觉还行,但有不少细节感觉还是得查资料才能懂)

题目

开启靶场后,打开是一个普通页面

image-20240912182741453

上下翻找没有其他可利用的,直接上F12大法(或者crtl+U查看网页源代码)

image-20240912183001262

这里我是直接查看源代码,找到需要的Secret.php文件

但有一个坑,这里需要左右拖动才能看到我们需要的

image-20240912183130513

点击后可以看到需要从指定的网页https://Sycsecret.buuoj.cn打开

image-20240912183337334

根据题目来看也是一个HTTP改包,可以通过BurpSuite来抓包(工具不限)

根据提示抓包后,添加Referer:https://Sycsecret.buuoj.cn伪造访问来源

image-20240912184441621

Forward后看到还需要我们用"Syclover"浏览器,要有耐心,继续改包吧=_=,这次需要修改User-Agent来伪造访问,User-Agent协议表示的是用户访问的信息

image-20240912184518595

修改的位置随便,甚至可以把整个User-Agent删空再加一个Syclover,记得带上上一步修改的Referer协议

image-20240912184844862

然后会得到让我们用本地访问(127.0.0.1),可以添加X-Forwarded-For:127.0.0.1,也可以添加X-Client

image-20240912184941281

image-20240912185221699

加上后再次返回,经过3次修改包,我们成功得到了flag

image-20240912185234356

总结

这篇算是新手入门级别,成功水了一篇~

题目在这里

  • Title: 极客大挑战2019 Http
  • Author: ZJ
  • Created at : 2024-09-12 00:00:00
  • Updated at : 2024-12-11 01:20:35
  • Link: https://blog.overlordzj.cn/2024/09/12/ctf/writeup/web/buuctf/[极客大挑战2019]Http/
  • License: This work is licensed under CC BY-NC-SA 4.0.
看看这些文章吧( ૢ⁼̴̤̆ ꇴ ⁼̴̤̆ ૢ)~ෆ
BUU BURP COURSE 1 BUU BURP COURSE 1 web前置技能-HTTP协议 web前置技能-HTTP协议 web安全-WP目录 web安全-WP目录
看看这些文章吧( ૢ⁼̴̤̆ ꇴ ⁼̴̤̆ ૢ)~ෆ
BUU BURP COURSE 1 BUU BURP COURSE 1 web前置技能-HTTP协议 web前置技能-HTTP协议 web安全-WP目录 web安全-WP目录
Comments
On this page
极客大挑战2019 Http
  1. [极客大挑战 2019]Http
  2. 前言
  3. 题目
  4. 总结