buuctf web [极客大挑战 2019]Http

2023-09-18 15:38:54

进入题目上下翻找了一下,没有什么突破口

检查了一下源码,有一个跳转页面 

点击页面,跳转到了新的地方

 新页面里没有别的跳转接口

但是页面中有提示:It doesn't come from 'https://Sycsecret.buuoj.cn'

打开burp

页面提示要求来自https://Sycsecret.buuoj.cn

所以,我们添加Referer:https://Sycsecret.buuoj.cn

注意:所有添加的内容都应该放在Connection: close上

点击send,新的提示:Please use "Syclover" browser

要求使用Syclover浏览器

这次添加User-Agent:Syclover

这回提示:No!!! you can only read this locally!!!

要求在本地读取

添加X-Forwarded-For:127.0.0.1

flag

补充内容:
User-Agent: //一般这个地方也需要改,看题目给的啥提示来改.
//UA的后面接上请求的浏览器 操作系统的信息等.

//检测了浏览器来源(使用User-Agent头进行绕过)
 
X-Forwarded-For://如果提示只能由本地访问,这里内容必须改为127.0.0.1如果给了其他ip,那就改为其他IP地址.

//检测了来源IP(使用X-Forwarded-For头进行绕过)

(X-Forwarded-For这个参数可以进行代理
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段)
 
Referer://这地方也需要改,看看题目给的提示,看给哪个url。

//检测了域名来源(使用Referer头进行绕过)
 
Cookie://如果提示只能由管理员访问,就必须把Cookie的内容改为admin。
以上为HTTP请求.

更多推荐

K8S ingress nginx性能优化

nginx性能主要优化参数:worker_connections和worker_processes是Nginx配置中的两个重要参数,用于控制Nginx服务器的性能和并发连接处理能力。worker_connections:worker_connections参数用于指定每个Nginx工作进程(workerprocess)

OpenCV自学笔记十五:图像轮廓

目录1、查找并绘制轮廓2、矩特征3、Hu矩4、轮廓拟合5、凸包1、查找并绘制轮廓在OpenCV中,可以使用`cv2.findContours()`函数来查找图像中的轮廓,并使用`cv2.drawContours()`函数将轮廓绘制到图像上。下面是一个示例代码:importcv2#读取图像并转换为灰度图像image=cv

AI项目八:yolo5+Deepsort实现目标检测与跟踪(CPU版)

若该文为原创文章,转载请注明原文出处。一、DeepSORT简介DeepSORT是一种计算机视觉跟踪算法,用于在为每个对象分配ID的同时跟踪对象。DeepSORT是SORT(简单在线实时跟踪)算法的扩展。DeepSORT将深度学习引入到SORT算法中,通过添加外观描述符来减少身份切换,从而提高跟踪效率。这是提供两个dem

学习如何编码

在学习编码时感受到一些失败●他在编码旅途之初并没有一个明确的目标;●他从看课程和阅读教程开始,但他只会复制代码,而不关心它是如何工作的。有时候他会复制粘贴代码●他没有通过做小挑战或记笔记来强化他正在学习的东西●他没有练习编程,也没有提出自己的项目想法●当他的代码不是非常干净或高效时,他很快就感到沮丧●他失去了动力,因为

计算机视觉与深度学习-经典网络解析-GoogLeNet-[北邮鲁鹏]

这里写目录标题GoogLeNet参考GoogLeNet模型结构创新点Inception结构,它能保留输入信号中的更多特征信息去掉了AlexNet的前两个全连接层,并采用了平均池化引入了辅助分类器GoogLeNetGoogLeNet的设计主要特点是引入了Inception模块,这是一种多尺度卷积结构,可以在不同尺度下进行

Leetcode.146 LRU 缓存

题目链接Leetcode.146LRU缓存mid题目描述请你设计并实现一个满足LRU(最近最少使用)缓存约束的数据结构。实现LRUCache类:LRUCache(intcapacity)以正整数作为容量capacitycapacitycapacity初始化LRU缓存intget(intkey)如果关键字keykeyke

JVM-环境准备&性能指标&基础知识

环境准备&性能指标&基础知识环境准备JDK—工具JDK(JavaDevelopmentKit)是用于开发Java应用程序的软件开发工具集合,包括了Java运行时的环境(JRE)、解释器(Java)、编译器(javac)、Java归档(jar)、文档生成器(Javadoc)等工具。简单的说我们要开发Java程序,就需要安

五十二.PPO算法原理和实战

基于表格的方法:动态规划法、蒙特卡罗法、时序差分法等。基于值函数近似的方法:DQN及其改进方法。两类方法都基本遵循了“策略评估-策略改进”交替循环的算法框架。基于值函数的算法在实际应用中也存在一些不足,如算法难以高效处理连续动作空间任务和只能处理确定性策略而不能处理随机策略等。强化学习的最终目标是获得最优策略。将策略本

这些PLC项目调试常见错误类型,你都了解吗?

各种品牌PLC都具有自我诊断功能,但PLC修理的技巧在于,充分运用该功能进行分析,然后精确寻找问题所在。整理了当PLC呈现反常报警时,PLC修理人员需要了解的8种常见错误类型。CPU反常CPU反常报警时,应查看CPU单元衔接于内部总线上的一切器材。具体方法是顺次替换可能存在问题的单元,找出问题单元,并作相应处理。存储器

Understanding the Security of ARM Debugging Features【TEE安全】

文章目录摘要引言贡献背景ARM、SoC制造商和OEMARM调试体系结构ARM调试验证信号ARMCoreSight体系结构ARM安全扩展调试体系结构的安全含义非侵入式调试侵入式调试总结调试真实设备中的身份验证信号目标设备开发板IOT设备商业云平台移动设备身份验证信号的状态身份验证信号的管理我们从TRM中学到了什么:我们从

Hbase工作原理

Hbase:HBase底层原理详解(深度好文,建议收藏)-腾讯云开发者社区-腾讯云Hbase架构图同一个列族如果有多个store,那么这些store在不同的regionHbase写流程(读比写慢)MemStoreFlushHbase读流程:先读blockCache,若命中了结果,则不读磁盘;若没有命中结果,那么同时读M

热文推荐