2018.6.21
今天在hackinglab做了两道基础题:他们共同的类型都是通过抓包然后通过修改请求的报文信息来通关的目的。
第一题:http://lab1.xseclab.com/base1_0ef337f3afbe42d5619d7a36c19c20ab/index.php
只允许“外国人访问”也就是我们去访问没有权限?作为萌新的我,先查看了下源代码没有鬼,emmm。。。然后抓包也没有异常的信息,这个时候想了一下,觉得可能请求的时候accept-language有鬼,一看,有一个:
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2试着删掉了限制的语言就成功的过了。
第二题:http://lab1.xseclab.com/base6_6082c908819e105c378eb93b6631c4d3/index.php
只能用特定的浏览器(HAHA)才能访问,这里就想到了访问的时候有一个浏览器识别(学习python的时候很痛。。。。),抓包看了一下:
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.9 Safari/537.36试着修改了火狐浏览器的标识 Mozilla/5.0 为 HAHA 提交之后成功伪装了浏览器获得了小旗旗~
今天就到这里了啦!