В этом году у меня была возможность сыграть в CTF Bluehat, созданную Jonathan Bar Or. В этом блоге я расскажу, как я решил веб-задачу MATRIXBROWSER. Другие задачи я написал здесь.
Чтобы решить эту задачу, нам нужно было получить доступ к странице MatrixBroswer. При попытке зайти на страницу в браузере вы получили следующее сообщение об ошибке:
Таким образом, сервер будет отвечать только в том случае, если вы используете MatrixBrowser версии 1.0. Как сервер узнает, какой браузер я использую? использовать строку агента! Я использовал прокси-сервер burp, поэтому я изменил заголовок User-Agent на значение MatrixBrowser v1.0 и получил новое сообщение об ошибке.
Refer здесь относится к заголовку Referer (обратите внимание, что заголовок пишется Referer, а не Referrer). Я добавил заголовок реферера в запрос и мне вернули ключ!
Я написал некоторые другие вызовы здесь: https://medium.com/@jpg.inc.au/bluehat-2018-ctf-ef63c48c3a7a
