欢迎来到西南某最大卖鞋厂商 !
三叶草安全技术小组(Syclover)
当黑客帝国的梦想成为现实,你就是下一个奇迹缔造者!
三叶草安全技术小组(Syclover)等待着同样热爱技术的你~
![图片[1]-[极客大挑战 2019]Http – buu刷题笔记-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/04/image-38-1024x631.png)
打开网页随便翻翻,没看见什么有用的链接,看看源代码
这儿有一个隐藏文件Secret.php
![图片[2]-[极客大挑战 2019]Http – buu刷题笔记-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/04/image-39-1024x242.png)
It doesn’t come from ‘https://Sycsecret.buuoj.cn’,这不就是提示需要抓包改referer吗^_^ 这里如果不太明白的可以参考以前写的X-Forworded-For和X-Real-IP的区别这一篇文章


image-16
![图片[3]-[极客大挑战 2019]Http – buu刷题笔记-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/04/image-40-1024x503.png)
![图片[4]-[极客大挑战 2019]Http – buu刷题笔记-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/04/image-41-1024x263.png)
接着又提示:Please use “Syclover” browser,那就改User-Agent
呗
![图片[5]-[极客大挑战 2019]Http – buu刷题笔记-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/04/image-42-1024x252.png)
哎又来,No!!! you can only read this locally!!!,那就加一个X-Forwarded-For:127.0.0.1
![图片[6]-[极客大挑战 2019]Http – buu刷题笔记-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/04/image-43-1024x273.png)
![图片[7]-[极客大挑战 2019]Http – buu刷题笔记-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2022/04/image-44-1024x159.png)
这里需要注意点是,以前做的改的浏览器,来源等都要保留,不然会报错
最后flag为flag{f33310a5-89c1-43a6-b245-9029fba9b3b6}
THE END
暂无评论内容