[极客大挑战 2019]Http 1

题目环境：

F12查看源代码寻找隐藏文件

点击隐藏文件Secret.php

需要抓包，在抓包前了解部分数据包参数

burpsuite抓包


回显结果：

右键送去重放
添加Referer请求报头

修改User-Agent用户代理为Syclover浏览器

查看请求端本地的真实IP
Kali终端输命令ifconfig,箭头后面即为真实IP

添加X-Forwarded-For请求端本地真实的IP

得到flag：
flag{a165c953-c9d8-4d9d-9ee6-39390b05d903}