[极客大挑战 2019]Http 1

进去之后, 按照惯例, 先查看源代码

image-20211031133550064

找到Secret.php这个页面, 进入

image-20211031133804874

看提示, 应该是Referer请求头检测, 判断从哪个网站跳转过来的, 上Fiddler

image-20211031134521678

Referer伪装好了, 又提示使用"Syclover"浏览器, 那么这次就是判断浏览器UA了, 我们把UA改成"Syclover"试试

image-20211031134743341

错误又变了, 这次说只能从本地访问, 根据前面的几次经验,这次应该还是判断请求头. 我们要找的那个请求头里肯定记录着请求发起方的IP, 我们只需要将IP改成本地环回地址127.0.0.1即可

经过一番查找, X-Forwarded-For这个记录着从源主机到经过的所有代理服务器IP,中间以逗号分隔. 为了方便, 我们只需要将其指定为127.0.0.1即可

image-20211031135902592

这样, 我们就拿到了flag~

参考资料