我们右键查看一下网页源代码

<section id="two" class="wrapper alt style2">
                        <section class="spotlight">
                            <div class="image"><img src="images/pic01.jpg" alt="" /></div><div class="content">
                                <h2>小组简介</h2>
                                <p>·成立时间：2005年3月<br /><br />
                                ·研究领域：渗透测试、逆向工程、密码学、IoT硬件安全、移动安全、安全编程、二进制漏洞挖掘利用等安全技术<br /><br />
                                ·小组的愿望：致力于成为国内实力强劲和拥有广泛影响力的安全研究团队，为广大的在校同学营造一个良好的信息安全技术<a style="border:none;cursor:default;" onclick="return false" href="Secret.php">氛围</a>！</p>
                            </div>
                        </section>

 

我们发现 Secret.php，那么我们就去访问一下

那我们成功访问了之后就能看见这么一个网站，上面写着我们的访问不是从这个网站来的，那么我们既然需要成功访问那么我们该怎么办呢，我在访问网站的时候会发出请求

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8表示客户端可以接受的内容类型,多个值使用;分号隔开q=0.9 表示权重优先级,*/*表示可以接受任意类型内容;
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3表示客户端可以接受的语言
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64x64;
浏览器信息,例如使用的是网井的内核, windows64位系统;
Accept-Encoding: gzip, deflate–>>支持的压缩格式
Host: localhost:8888====>访问地址
Connection: keep-alive —>>保持连接 和HTTP1.1版本有关,默认保持3s
Content-Type: application/x-www-form-urlencoded表单提交时才有可能出现,表示表单的数据类型,使用url编码,url编码 % 16位数
Content-Length: 7—>post请求 请求体长度
Upgrade-Insecure-Requests: 1–>>告诉服务器，浏览器可以处理https协议

我们打开HackBar，增加一下Referer

 

 

随后提示我们浏览器需要使用Syclover，也就是修改一下User-Agent的内容，用HackBar也可以修改

发现到现在还是没有出来，它说我们只能在本地访问，那么意思就是要我们使用127.0.0.1来访问，这时候HackBar不好用了，我们抓一下包，增加一行X-Forwarded-For:127.0.0.1

然后放包，flag就出现了