2020.3.19 XCTF的基础题

最新推荐文章于 2023-06-05 14:41:39 发布
最新推荐文章于 2023-06-05 14:41:39 发布
阅读量402 收藏 1
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DSR446/article/details/104973730
版权

题目描述:(学会使用hackbar)
在这里插入图片描述
1.打开hackbar,用get方式传递a=1,如图所示
在这里插入图片描述
2.勾选hackbar上的Enable post data,用post方式传递b=2,可获得flag,如图所示
在这里插入图片描述
在这里插入图片描述原理:

X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项

HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的

操作:
1.打开firefox和burp,使用burp对firefox进行代理拦截,在请求头添加X-Forwarded-For: 123.123.123.123,然后放包
在这里插入图片描述2.接着继续在请求头内添加Referer: https://www.google.com,可获得flag
在这里插入图片描述

藏蓝色的达达
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SOL注入——HTTP头部注入(2)(七)
Gjqhs的博客
02-20 1685
本章目的 普及HTTP头部字段User-Agent、Referer、Cookie、X-Forwarded-For等的含义 和作用,掌握HTTP头部注入的原理、方法及基本流程。 实验环境 攻击机:Pentest-Atk (1)操作系统:Windows10 (2)安装的应用软件:sqlmap 、 Burpsuite、 FireFox浏览器及其插件Hackbar、 等 (3)登录账号密码:操作系统帐号Administrator,密码Sangfor!7890 想机:A-SQLi-Labs (1)操作系统:Cen
攻防世界—web(练习区)
yxl_d的博客
09-05 446
前记 做平台:攻防世界 平台地址:https://adworld.xctf.org.cn/ 做工具:Firefox web1.view_source 拿到目链接打开后发现右键不管用了 于是乎在Firefox上打开web开发者中的web控制台,可获得flag web2.get_post 在Firefox上打开插件hackbar,用get方式传递a=1 勾选hackbar上的Enable...
Hackbar的安装与使用
qq_39511050的博客
09-03 5691
firefox安装hackbar并使用
攻防世界-WEB进阶区-bug
qq_64966153的博客
07-04 1085
攻防世界 bug靶场
2021-06-06
ZZZllllllxx的博客
06-06 264
bugku 2021/6/6 web26 解 用hackbar的referrer直接加http://www.google.com/ HTTP 请求报文由3部分组成(请求行+请求头+请求体) 请求行=请求方法+请求URL+HTTP协议及版本 请求方法:GET和POST是最常见的HTTP方法,除此以外还包括 DELETE、HEAD、OPTIONS、PUT、TRACE 请求URL地址:他和报文头的Host属性,组合起来是一个完整的请求URL 本考查的主要为请求报文头的属性 常见的HTTP 报文头属性 Accp
xctf.rar_HTML5自适应
09-19
这个"xctf.rar"压缩包包含了一个实现HTML5全屏滚动效果的源码,它能实现平滑滚动,并且能够自适应不同浏览器的显示。 全屏滚动,也称为全屏滑动或全景观览,是一种让网页内容以连续的全屏视图展示的设计方式。这种...
XCTF攻防世界web.doc
09-19
总结来说,XCTF攻防世界Web系列挑战涵盖了Web安全的多个方面,从基本的源代码查看到复杂的JavaScript逻辑分析,每个环节都需要参赛者具备扎实的Web基础知识和敏锐的洞察能力。通过解决这些挑战,参与者不仅能提高...
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF-RE】新手练习区-re1.exe
08-03
目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解记录:https://www.yuque.com/jianouzuihuai/study/ugg9gy
XCTF-Mobile】新手练习区-08-app3.rar
08-30
目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5087&page=1 我的解记录:https://www.yuque.com/jianouzuihuai/study/app3
Hackbar旧版安装教程
淡巴枯的博客
09-20 2505
HackBar是Firefox提供的插件,功能类似于地址栏,优点是里面的数据不受服务器的相应触发的重定向等其它变化的影响。
什么是HackBar及其使用
qq_43882531的博客
08-09 1万+
简介 HackBar是Firefox提供的插件,HackBar v2版本可免费使用。HackBar功能类似于地址栏,但是它里面的数据不受服务器的相应触发的重定向等其它变化的影响。功能有网址的载入访问,联合查询,各种编码,数据加密功能等。HackBar可以帮助我们测试SQL注入,XSS漏洞和网站的安全性,主要是帮助渗透测试人员做代码的安全审计,检查代码,寻找安全漏洞。 hackbar使用 Load URL:将网页加载进框,便于修改。 Split URL:自动切分,快速找出需要改的地方 Ex...
攻防世界web新手区解(详细)
weixin_46342913的博客
08-21 6720
9.simple_php 目描述:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 Knowledge PHP中, ==是不严格的比较,会先进行类型转换再比较, ===是全等,要求类型相同且值相等 解思路: 阅读代码发现要满足a==0且if a为真,b不是数字且b>1234才会返回flag, 由可知,我们只需构造一个a类型转化后为0且为真,b不是数字且类型转换后大于1234,用get方式提交,即可得flag。 这里构造a=0ss,b=2267s。 如图: Cyberpeac
渗透测试-浏览器插件-Hackbar的安装与使用教程
热门推荐
保持微笑的博客
01-08 6万+
1.什么是hackbar? Hackbar是一个浏览器中的一个插件,它的功能类似于地址栏,但是它里面的数据不受服务器的相应触发的重定向等其它变化的影响。 2.安装hackbar 我们以Firefox浏览器为例。 1.点击浏览器的扩展和主 2. ​ ...
攻防世界新手区Web-writeup
eeeric7的博客
07-25 388
Web1view_source F12查看网页源代码得到flag Web-2 robots Robots协议:即Robots Exclusion Standard网络爬虫排除协议。 作用:网站告知网络爬虫哪些页面可以爬取,哪些不能爬取 形式:在网站根目录下的robots.txt文件 robots.txt文件应该放在网站根目录下。 当robots访问一个网站时,首先会检查该网站中是否存在http://www.xxx.com/robots.txt这个文件,如果机器人找到这个文件..
攻防世界6—10
nidaxin的博客
11-11 385
第六:weak auth 1.说明:弱口令即为没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。 ...
HackBar 新手使用教程
天泽岁月
07-21 5万+
HackBar 新手使用教程
sql注入(5)http-header注入(附工具)
c10udz的博客
05-11 727
目录 一.http-header注入 1.原理 2.注入条件 二.User-Agent注入 1.准备 2.寻找注入点 3.信息和数据收集 三.Rerferer注入 四.XFF注入 五.工具 1.hackbar插件 2.burpsuite 3.FoxyProxy插件 一.http-header注入 1.原理 开发人员为了验证客户端头信息,或者获取客户端的一些信息,会对客户端的http-header信息进行获取并使用sql语句进行处理,头注入就是...
2019极客大挑战http的wp及http考点
2301_77004573的博客
06-05 118
X-Forwarded-For://如果提示只能由本地访问,这里内容必须改为127.0.0.1如果给了其他ip,那就改为其他IP地址.Cookie://如果提示只能由管理员访问,就必须把Cookie的内容改为admin。1.对X-Forward-For的考点:只能由本地访问(127.0.0.1)User-Agent: //一般这个地方也需要改,看目给的啥提示来改.Referer://这地方也需要改,看看目给的提示,看给哪个url。//UA的后面接上请求的浏览器 操作系统的信息等.
xctf supersqli
最新发布
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值