[极客大挑战 2019]HTTP

本次题目目的：检验小白HTTP协议是否掌握牢固

BUUCTF靶机地址：

node4.buuoj.cn:27655

🌸三部曲之一：先看

打开网页，好嘛在这里卖鞋🐶

ctrl+U 走起去查看网页源代码

发现在源码中有意思的一个语句

<a style="border:none;cursor:default;" onclick="return false" href="Secret.php">氛围</a>

秘密页面嘿嘿， 咋们学过HTML了解到

A标签的作用是跳转，我们去访问这个网页显示

访问之后说：

必须从这个https://www.Sycsecret.com点过来的才有效

多说无益，上Burp

🌸三部曲之二：开抓

直接丢Burp里面抓包

🌸三部曲之三：伪造

访问秘密地址

GET /Secret.php/ HTTP/1.1

访问之后说：

你必须从这个https://www.Sycsecret.com点过来的

🌸八嘎！大大滴坏！

在请求报文消息报头中加入

Referer(花姑娘🌸，我是从这里过来滴！)

Referer: https://www.Sycsecret.com

又告诉你必须要使用Syclover这个浏览器访问

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Syclover

又说必须本地打开才行

怎么样才能本地打开呢？

用到X-Forwarded-For这个扩展头

设置X-Forwarded-For: 127.0.0.1
或者X-Forwarded-For: localhost

修改完之后查看回显发现flag值

然后提交

就告一段落了

总之非常适合检验小白学习HTTP协议的能力（不是水）