标签:没有 提交 ali 场景 for 步骤 网页 ext 完成
XCTF练习题---WEB---xff_referer
flag:cyberpeace{9626408a4b37eab65854d8ccd22f671c}
解题步骤:
1、观察题目,打开场景
2、注意题目要求,xff和referer。还有题目描述,xff和referer是可以伪造的,这里感觉要用到Burp了,打开后放在一边,打开这个场景,是这样的
3、页面中显示说IP必须为123.123.123.123,在网页中我们也没有办法改IP,这时候就要用到Burp了,进行抓包,发送到重发器进行编辑
4、 题目中用到XXF和referer,判断是X-Forwarded-For和Referer,XFF构造来源IP,Refer构造来源浏览器,那接下来就进行构造吧,首先先构造XFF看看,在报文末尾处添加X-Forwarded-For:123.123.123.123,看回显(注意:最后一行数值后面需要空两行,这样才会执行成功)
5、回显果然变了,使用他的IP还不行,要求使用他的地址,那就涉及到referer了,构造语句:Referer:https://www.google.com,发送请求
6、发现flag了,提交,完成,注意!最后一行数值后面需要空两行,这样才会执行成功
标签:没有 提交 ali 场景 for 步骤 网页 ext 完成
原文地址:https://www.cnblogs.com/redHskb/p/12515881.html
