网上帮做一些小事赚零花钱的网站,php网站开发教学,上海网站制作公司是什么,教育机构线上推广方案题目环境#xff1a; 看起来挺花里胡哨的 F12查看源代码寻找隐藏文件 这是啥子呀#xff0c;果然防不胜防 点击隐藏文件Secret.php 它不是来自这个地址的请求 报头#xff1a;https://Sycsecret.buuoj.cn 需要抓包#xff0c;在抓包前了解部分数据包参数 GET:到 Host:来自 …题目环境 看起来挺花里胡哨的 F12查看源代码寻找隐藏文件 这是啥子呀果然防不胜防 点击隐藏文件Secret.php 它不是来自这个地址的请求 报头https://Sycsecret.buuoj.cn 需要抓包在抓包前了解部分数据包参数 GET:到 Host:来自 User-Agent: 用户-代理 Accept: 接受 Accept-Language: 接受-语言 Accept-Encoding: 接受-编码 Connection: 连接 Upgrade-Insecure-Requests: 升级-不安全的-请求 Content-Length: 内容长度 Cache-Control: 缓存-控制 X-Forwarded-For: HTTP的请求端真实的IP Request: 请求 Response: 响应 Referer请求报头 burpsuite抓包回显结果右键送去重放添加Referer请求报头 请使用Syclover浏览器进行访问 修改User-Agent用户代理为Syclover浏览器 No!!! you can only read this locally!!! 不! ! ! 你只能在本地阅读! ! 查看请求端本地的真实IPKali终端输命令ifconfig,箭头后面即为真实IP添加X-Forwarded-For请求端本地真实的IP得到flagflag{a165c953-c9d8-4d9d-9ee6-39390b05d903}
