[极客大挑战 2019]Http_WP
-
打开源代码
-
打开WriteUp
-
原来我眼瞎
-
先补一下HTTP中的请求头和响应头属性
X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,(通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库or某文件[通过修改XXF头可以实现伪造IP]).
-
进Secret.php后
-
用Burp抓包重放,请求头加Referer
-
响应:
-
那就改UA呗
-
响应:
-
那就加XXF头
-
响应: