HGAME 2024 WEEK 1 :web ezHTTP

题目：

看到这个就知道是文件头伪造

第一想法就是Referer伪造

所以伪造 Referer: vidar.club

然后构造伪造的Referer

然后提示通过那些东西访问页面，User-Agent: 是构造你浏览器访问信息的，所以复制右边那一串替代就好了

然后要求我们从本地访问，那就是伪造ip

一般想到两个方法:

X-Forwarded-For: 127.0.0.1

Client-ip: 127.0.0.1

但是本题这里构造这两个都是没有反应的，就有第三种方式

X-Real-IP: 127.0.0.1

然后我们就可以得到右边有一长串的东西

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJGMTRnIjoiaGdhbWV7SFRUUF8hc18xbVAwclQ0bnR9In0.VKMdRQllG61JTReFhmbcfIdq7MvJDncYpjaT7zttEDc

我们把它base64解码一下看看

最后的得到的flag为：

hgame{HTTP_!s_1mP0rT4nt}

---

这次主要查漏补缺了知识点伪造ip地址还有:X-Real-IP:这种方式