首先需要了解什么是xff--代理服务器,通过代理访问服务器,referer:HTTP REFERER 是hesder的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。很多HTTP代理会在HTTP协议头中添加
X-Forwarded-For头,用来追踪请求的来源
两种方法:
1.hackbar解法
注意这里使用hackbar是老版本的,不是新版本的
打开题目,显示如图所示,右键-点击检查,来到hackbar界面
点击load将页面链接添加进来
界面变为如上,这就是要求我们Referer改为谷歌浏览器
执行后显示flag
方法2:借助burpsuit
使用burpsuit进行抓包
构造XFF:X-Forwarded-For:123.123.123.123 注意构造的XFF一定要在Connect:close的上面,要不然可能会出现没有回复的状况
再次构造Referer
显示flag
