学习笔记

1.在hackerbar上输入一个？a=1时可得到下面一行字“请再以post方式随便提交一个名为b,值为2的变量”

得到下面的的flag

2.根据网址得到以下界面

robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，搜索机器人就会按照该文件中的内容来确定访问的范围；如果该文件不存在，所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。

发现robots.txt里面包含了一个flag_1s_h3rre.php的文件，进入文件得到本题的flag

Cookie是当主机访问Web服务器时，由 Web 服务器创建的，将信息存储在用户计算机上的文件。一般网络用户习惯用其复数形式 Cookies，指某些网站为了辨别用户身份、进行 Session 跟踪而存储在用户本地终端上的数据，而这些数据通常会经过加密处理。

4.发现flag的那个按键按不下去，所以下一步我们要查看页面的源代码

找到不允许flag按键的代码，发现前面有一个“disabled=”，我们将它删掉，更新一下就可以按下那个flag得到flag

5.ping里面要求我们要输入一个地址，当我们输入一个127.0.0.1时

输入127.0.0.1|cat/home/flag.txt得到了flag

6.查看源码发现当输入a==0是得到一个flag

输入？a=abc&b=12345a时得到另一个flag

7.X-Forwarded-For:简称XFF头，它代表客户端，也就是HTTP的请求端真实的IP，只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项
HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器我是从哪个页面链接过来的

采用burpsuite抓包