学习目标:
burp suite在web上的使用
学习内容:
1.burp suite的使用
(如果burpsuite 的打开有问题,或者打不开,可以看小编的这篇博客https://blog.csdn.net/qq_53142368/article/details/114776550?spm=1001.2014.3001.5501)
(burp suite的学习视频放在这里了
https://www.bilibili.com/video/BV1Kb411H7ZU?from=search&seid=13991352570583568229)
*
2.攻防世界web新手题最后破解
(大家想看之前题的话,https://blog.csdn.net/qq_53142368/article/details/113740252?spm=1001.2014.3001.5501)
学习时间:
2021年3月13日-2021年3月14日
学习产出:
前言
burp suite这款软件非常暴力 (●ˇ?ˇ●) 真的不是一般的暴力,http,https路过他还得交保护费(这里指的就是拦截的原码),如果看不惯你,还再从你的身上使点破坏(改变源码,然后用浏览器再编译,然后就跟之前的不一样了) 这样形容这个软件,是不是感觉这个软件很有意思,小编也觉得非常有意思,所以这两天深入学习,把小编学到的分享给大家
首先就是劫道,只要是个http,大哥想收保护费,你就得交,?,所以就是看大哥想去哪条道上找你的问题了,所以这就得找你的浏览器的代理设置,小编的电脑是windows10,这里把代理设置的位置给大家说一下,首先打开你的浏览器,找到设置,然后找到系统,
然后打开你的“打开计算机的代理设置”,然后打开手动设置代理
这个就是这个浏览器要走的(道),然后,哈哈,请咱们的大哥登场
找到这个按钮
只要一打开这个按钮,咱们大哥就开始干坏事了,哈哈(为啥我想起了cf的老兵大哥)?
然后咱们选择咱们想要“劫”的东西,给大哥送过去,然后让大哥给咱们解决问题
这里咱们就把咱们要攻击的网站地址给输入上去
这个就是咱么大哥要执行爆破的地方
这个就是咱们进行编译的地方,废话也不多说,上题
攻防世界: 第九题
题上说的很清楚
是xff_referer
咱们用burp suite进行拦截
拦截之后放在这里观察
然后说ip地址必须是123.123.123.123
so
xff 就是 X-Forwarded-For
然后咱们就
发现出现了
这里就用到了Referer了,注意第一个字母必须大写,?,咱们大哥有点脾气不行么 ?
得到flag