CTFHUB-Http协议

一、HTTPRequestMethod 共计 17 种
1、GET 请求指定的页面信息，并返回实体主体。
2、HEAD 类似于 get 请求，只不过返回的响应中没有具体的内容，用于获取报头
3、POST 向指定资源提交数据进行处理请求（例如提交表单或者上传文件）。数据被
包含在请求体中。POST 请求可能会导致新的资源的建立和/或已有资源的修改。
4、PUT 从客户端向服务器传送的数据取代指定的文档的内容。
5、DELETE 请求服务器删除指定的页面。
6、CONNECT HTTP/1.1 协议中预留给能够将连接改为管道方式的代理服务器。
7、OPTIONS 允许客户端查看服务器的性能。
8、TRACE 回显服务器收到的请求，主要用于测试或诊断。
9、PATCH 实体中包含一个表，表中说明与该 URI 所表示的原内容的区别。
10、MOVE 请求服务器将指定的页面移至另一个网络地址。
11、COPY 请求服务器将指定的页面拷贝至另一个网络地址。
12、LINK 请求服务器建立链接关系。
13、UNLINK 断开链接关系。
14、WRAPPED 允许客户端发送经过封装的请求。
15、LOCK 允许用户锁定资源，比如可以再编辑某个资源时将其锁定，以防别人同时对其进行编辑。
16、MKCOL 允许用户创建资源
17、Extension-mothed 在不改动协议的前提下，可增加另外的方法。
但是常见的就只有五种分别是  get   post   put  delete   options

例：CTFHub之HTTP协议

1.根据提示我们可以访问CTFHub的HTTP协议，一种方式从电脑中打开cmd直接进行访问，另一种方式我们可以进行爆破

2.抓包后要对请求方式进行更改，一般请求方式分为get和post,但此题为CTFHUB，更改后将它发送到requester就能得到flag.

3.即flag为ctfhub{60f65446aa498a1dca2fcbed}。

二、Burpsuite Intruder（测试器）爆破的4种方式说明

1.狙击手模式（Sniper）
它使用一组Payload集合，依次爆破被§标志的爆破点。

如果爆破点设置一个，payload设置10个，就执行10次；如果爆破点设置两个，则执行20次。

一般这个模式下只设置一个爆破点，因为如果用户名和密码都不知道的情况下不会使用该模式去爆破。通常用于在知道用户名后，对密码进行爆破。

2.破城锤模式（Battering ram）      

它使用一组Payload集合，同时爆破被§标志的爆破点。

无论爆破点设置几个，payload设置10个，就执行10次。

3.音叉模式（Pitchfork ）
同时爆破被§标志的爆破点，爆破点1指定payload1，爆破点2指定payload2。

无论爆破点设置几个，payload1设置10个，payload2设置10个，就执行10次。 

并且一般按照payload少的执行，如payload1设置10个，payload2设置9个，就执行9次。

4.集束炸弹模式（Cluster bomb）

同时爆破被§标志的爆破点，爆破点1指定payload1，爆破点2指定payload2，依次使用payload1与payload2的组合进行爆破。payload1设置10个，payload2设置9个，就执行10*10=90次。 

例：云曦靶场之师姐的生日

1.先打开题目，这道题是密码爆破要用到burpsuit,按照常规步骤，根据生日为四位数，先输入四位数字。

2.打开bp，将bp与浏览器连接，开启拦截进行抓包。

3.将要爆破的内容number=1234传送到intruder中，并对要爆破的内容手动添加§。

4.并对相关内容进行调整和设置。

5.点击开始攻击，并筛选出与其他几项长度的不同的数值。

6.点击响应就可找到flag。