一、HTTPRequestMethod 共计 17 种
1、GET 请求指定的页面信息,并返回实体主体。
2、HEAD 类似于 get 请求,只不过返回的响应中没有具体的内容,用于获取报头
3、POST 向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被
包含在请求体中。POST 请求可能会导致新的资源的建立和/或已有资源的修改。
4、PUT 从客户端向服务器传送的数据取代指定的文档的内容。
5、DELETE 请求服务器删除指定的页面。
6、CONNECT HTTP/1.1 协议中预留给能够将连接改为管道方式的代理服务器。
7、OPTIONS 允许客户端查看服务器的性能。
8、TRACE 回显服务器收到的请求,主要用于测试或诊断。
9、PATCH 实体中包含一个表,表中说明与该 URI 所表示的原内容的区别。
10、MOVE 请求服务器将指定的页面移至另一个网络地址。
11、COPY 请求服务器将指定的页面拷贝至另一个网络地址。
12、LINK 请求服务器建立链接关系。
13、UNLINK 断开链接关系。
14、WRAPPED 允许客户端发送经过封装的请求。
15、LOCK 允许用户锁定资源,比如可以再编辑某个资源时将其锁定,以防别人同时对其进行编辑。
16、MKCOL 允许用户创建资源
17、Extension-mothed 在不改动协议的前提下,可增加另外的方法。
但是常见的就只有五种分别是 get post put delete options
例:CTFHub之HTTP协议
1.根据提示我们可以访问CTFHub的HTTP协议,一种方式从电脑中打开cmd直接进行访问,另一种方式我们可以进行爆破
2.抓包后要对请求方式进行更改,一般请求方式分为get和post,但此题为CTFHUB,更改后将它发送到requester就能得到flag.
3.即flag为ctfhub{60f65446aa498a1dca2fcbed}。
二、Burpsuite Intruder(测试器)爆破的4种方式说明
1.狙击手模式(Sniper)
它使用一组Payload集合,依次爆破被§标志的爆破点。
如果爆破点设置一个,payload设置10个,就执行10次;如果爆破点设置两个,则执行20次。
一般这个模式下只设置一个爆破点,因为如果用户名和密码都不知道的情况下不会使用该模式去爆破。通常用于在知道用户名后,对密码进行爆破。
2.破城锤模式(Battering ram)
它使用一组Payload集合,同时爆破被§标志的爆破点。
无论爆破点设置几个,payload设置10个,就执行10次。
3.音叉模式(Pitchfork )
同时爆破被§标志的爆破点,爆破点1指定payload1,爆破点2指定payload2。
无论爆破点设置几个,payload1设置10个,payload2设置10个,就执行10次。
并且一般按照payload少的执行,如payload1设置10个,payload2设置9个,就执行9次。
4.集束炸弹模式(Cluster bomb)
同时爆破被§标志的爆破点,爆破点1指定payload1,爆破点2指定payload2,依次使用payload1与payload2的组合进行爆破。payload1设置10个,payload2设置9个,就执行10*10=90次。
例:云曦靶场之师姐的生日
1.先打开题目,这道题是密码爆破要用到burpsuit,按照常规步骤,根据生日为四位数,先输入四位数字。
2.打开bp,将bp与浏览器连接,开启拦截进行抓包。
3.将要爆破的内容number=1234传送到intruder中,并对要爆破的内容手动添加§。
4.并对相关内容进行调整和设置。
5.点击开始攻击,并筛选出与其他几项长度的不同的数值。
6.点击响应就可找到flag。