欢迎来到西南某最大卖鞋厂商 !
三叶草安全技术小组(Syclover)
当黑客帝国的梦想成为现实,你就是下一个奇迹缔造者!
三叶草安全技术小组(Syclover)等待着同样热爱技术的你~
![图片[1]-[极客大挑战 2019]Http – buu刷题笔记-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2022/04/image-38-1024x631.png)
打开网页随便翻翻,没看见什么有用的链接,看看源代码
这儿有一个隐藏文件Secret.php
![图片[2]-[极客大挑战 2019]Http – buu刷题笔记-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2022/04/image-39-1024x242.png)
It doesn’t come from ‘http://Sycsecret.buuoj.cn’,这不就是提示需要抓包改referer吗^_^ 这里如果不太明白的可以参考以前写的X-Forworded-For和X-Real-IP的区别这一篇文章
2022年4月13日 17:28![图片[3]-[极客大挑战 2019]Http – buu刷题笔记-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2022/04/image-40-1024x503.png)
![图片[4]-[极客大挑战 2019]Http – buu刷题笔记-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2022/04/image-41-1024x263.png)
接着又提示:Please use “Syclover” browser,那就改User-Agent呗
![图片[5]-[极客大挑战 2019]Http – buu刷题笔记-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2022/04/image-42-1024x252.png)
哎又来,No!!! you can only read this locally!!!,那就加一个X-Forwarded-For:127.0.0.1
![图片[6]-[极客大挑战 2019]Http – buu刷题笔记-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2022/04/image-43-1024x273.png)
![图片[7]-[极客大挑战 2019]Http – buu刷题笔记-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2022/04/image-44-1024x159.png)
这里需要注意点是,以前做的改的浏览器,来源等都要保留,不然会报错
最后flag为flag{f33310a5-89c1-43a6-b245-9029fba9b3b6}
© 版权声明
渗透云记的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
渗透云记拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!
本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!访问本博客请务必遵守有关互联网的相关法律、规定与规则。一旦您访问本博客,即表示您已经知晓并接受了此声明通告。详情见本站的“免责声明”如果有侵权之处请第一时间联系我们删除。敬请谅解!E-mail:admin@encenc.com
THE END
请登录后查看评论内容