攻防世界web新手
攻防世界web
1.xff_referer
打开场景发现此题对IP地址进行了限制:
我们采用burpsoup进行抓包,然后更改http请求头:
由于提示了xff和referer都可以进行伪造,所以尝试增加X-Forwarded-For: 123.123.123.123与Referer: https://www.google.com:
于是得到了flag:cyberpeace{0132c7f83b1441e97636072c5207c8d8}
2.command_execution
我们首先输入127.0.0.1试试:
发现能够ping通,那么接下来继续在其中做动作,试试find flag.txt:
发现这个文件在/home下,于是直接打开此文件,得到flag