前言
本题知识点:常用 HTTP 请求头
WP
打开题目,在页面中没有发现明显的提示,查看网页源码,经搜索后发现一个似乎存在猫腻的网页 ‘Secret.php’
访问该页面,得到第一个提示
题目要求我们从 ‘https://www.Sycsecret.com' 进入该页面,故使用 burpsuite 抓包,在请求头中增加 Referer 字段即可
Referer
HTTP Referer是 header 的一部分,当浏览器向 Web 服务器发送请求的时候,一般会带上 Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。
接着就得到了第二个提示,题目要求我们使用 ‘Syclover’ 浏览器访问该页面,故抓包修改 UA 字段
User Agent
User Agent 中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。
Then,遇到了第三个要求,题目要求我们必须从本地访问该页面,我们可以通过添加 XFF 头来实现伪装
X-Forwarded-For
X-Forwarded-For(XFF)是用来识别通过 HTTP 代理或负载均衡方式连接到 Web 服务器的客户端最原始的 IP 地址的 HTTP 请求头字段。
最终得到 flag
PS:
附上常用的 HTTP 请求头响应头中常用字段详解传送门:前端必备HTTP技能之HTTP请求头响应头中常用字段详解