渗透测试与HTTP中的PUT请求

最新推荐文章于 2024-06-05 13:50:17 发布
最新推荐文章于 2024-06-05 13:50:17 发布
阅读量578 收藏 6
点赞数 8
文章标签: http 网络协议 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1_pha/article/details/136753447
版权

PUT 请求用于向服务器更新指定资源,可以理解为对服务器上的资源进行修改操作。使用 PUT 请求方式会覆盖原有的资源内容,因此需要谨慎使用。

在渗透测试中,有可能服务端会暴露PUT请求的api,如修改用户权限的api,例如HTB的TwoMillion靶场就利用了这个api将普通用户提升为管理员用户:

PUT /api/v1/admin/settings/update HTTP/1.1

Host: 2million.htb

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.6167.85 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7

Accept-Encoding: gzip, deflate, br

Accept-Language: zh-CN,zh;q=0.9

Cookie: PHPSESSID=lb54v6es5dm1k3h5fvk8vu325p

Connection: close

Content-Type:application/json

Content-Length: 51



{

	"email":"12345@gmail.com",

"is_admin":1

}

oneynhongx
关注
  • 8
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web渗透--12--不安全HTTP方法
武天旭的博客
09-11 1万+
1、漏洞描述: 不安全HTTP方法一般包括:TRACE、PUT、DELETE、COPY等。其最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。其他说明方式如下所示: 方法 解释 PUT 向指定的目录上传文件 ...
IISPutScanner+IISWrite
04-20
标题"IISPutScanner+IISWrite"涉及到的是两个在网络安全领域常见的工具,主要用于渗透测试。IISPutScanner和IISWrite是针对Microsoft Internet Information Services (IIS) Web服务器进行安全评估的工具。 IISPut...
HTTP之PUT请求
热门推荐
yzpbright的博客
06-15 1万+
PUT请求 浏览器在发PUT请求前会先发OPTIONS请求进行预检,看服务端是否可以接受PUT请求,若可以就在响应头添加字段告诉浏览器可以继续发送PUT请求 response[“Access-Control-Allow-Methods”] = “PUT” 就是添加这个字段 所以PUT请求实际上浏览器会向服务端发两次请求 if request.method=="OPTIONS": # 预检 response = HttpResponse() respon
发送HTTP PUT请求以更新资源
最新发布
weixin_73725158的博客
06-05 252
在这个示例,我们首先定义了一个包含更新后资源数据的字典,并将其转换为JSON字符串。然后,我们设置了一个请求头,指定内容类型为。函数发送PUT请求,并传入URL、数据和请求头。根据服务器的响应状态码,我们可以判断请求是否成功,并做进一步的处理。通过发送HTTP PUT请求,我们可以轻松地更新服务器上的资源信息,实现数据的动态管理。# 定义要更新的资源数据,这里使用字典形式。# 设置请求头,指定内容类型为JSON。# 将数据转换为JSON字符串。# ... 可以添加更多字段。# 定义要请求的URL。
http get、post、put
琅嬛福地
08-07 2206
这个例子,我们发送了一个POST请求到"/path",并且我们设置了HTTP头部字段"Content-Type"为"application/x-www-form-urlencoded",然后我们发送了两个字段"field1"和"field2"。与 GET 不同,POST 请求会把数据和请求一起发送,数据不会附在 URL 上,而是在请求的消息体。PUT:PUT 方法用于向指定资源位置上传其最新内容,PUT 方法是幂等的,即无论调用一次还是多次,服务器上的结果都是一样的。PUT 方法通常用于更新资源。
计算机网络笔记:HTTP关于put、get、post、option请求
YanHSama的博客
04-30 1900
http请求
http get post put区别
qq_48739372的博客
07-20 394
所以业界有了不成文规定,(大多数)浏览器通常都会限制url长度在2K个字节,而(大多数)服务器最多处理64K大小的url。而对于POST,浏览器先发送header,服务器响应100 continue,浏览器再发送data,服务器响应200 ok(返回数据)。而在网络环境差的情况下,两次包的TCP在验证数据包完整性上,有非常大的优点。4、Get 请求有非 ASCII 字符,会在请求之前进行转码,POST不用,因为POST在Request body,通过 MIME,也就可以传输非 ASCII 字符。
HTTP的POST和PUT有什么区别?
kalman2019的博客
12-08 7606
根据 RFC 2616, § 9.5,POST 用于创建一个资源:POST 方法用于请求源服务器接受请求包含的实体,作为 Request-Line Request-URI 标识的资源的新下级。根据 RFC 2616, § 9.6,PUT 用于创建或替换资源:PUT 方法请求将封闭的实体存储在提供的 Request-URI 下。如果 Request-URI 引用了一个已经存在的资源,封闭的实体应该被认为是在源服务器上的一个修改版本。如果 Request-URI 不指向现有资源,并且该 URI
解密PUT请求:探索HTTP的未知领域
博客
08-07 1209
PUT请求是一种在HTTP协议常见但较为陌生的请求方法。本博客将介绍PUT请求的背景和作用,并概述PUT请求HTTP的位置。
Web渗透测试工程师—初级教程.zip
11-25
了解HTTP请求方法(如GET、POST、PUT等)以及HTTP头、状态码和响应体的内容,是渗透测试的基础。渗透测试人员会利用HTTP协议的特性,例如通过构造恶意请求来绕过认证或执行未授权操作。 第四章:环境搭建 在进行Web...
Python-一款Python语言的HTTP第三方库
08-11
此外,hackhttp库与BugScan框架的集成,使其在安全扫描和渗透测试领域有广泛的应用。它可以帮助安全研究人员自动化地发送各种HTTP请求,检测潜在的安全漏洞,比如SQL注入、跨站脚本攻击等。 总的来说,hackhttp是...
ApacheTomcat自动WAR部署和pwning渗透测试工具。_Python_下载.zip
04-22
4. **HTTP协议**:理解HTTP请求方法(GET, POST, PUT等)和它们在部署的作用。 5. **权限和认证**:了解Tomcat的用户管理和角色权限,如何设置和绕过认证。 6. **安全漏洞**:熟悉常见的Java Web应用漏洞,如SQL...
put2win:自动执行PUT HTTP方法利用以获取Shell的脚本
01-31
PUT2Win是一个基于Bash的脚本工具,主要用于web安全测试和渗透测试,通过PUT HTTP方法来尝试利用漏洞获取服务器的Shell权限。在Web应用程序的安全性评估,PUT方法通常被视为潜在的安全风险,因为一些应用程序...
java语言(HttpClient 的Get、Post、Put、Delete请求的使用)
qq_42855293的博客
10-28 721
package org.caeit.cloud.dev.util; import java.io.File; import java.io.IOException; import java.io.UnsupportedEncodingException; import java.nio.charset.Charset; import java.util.ArrayList; import java.util.List; import java.util.Ma
网络渗透测试-使用put方法
网络安全领域优质创作者
11-05 1251
以下均为实际攻击过程,记录笔记,仅供学习参考 nmap-T4 -A -sS-sV-vv--script vuln -p- --open -n -Pn10.11.1.13 -oX10.11.1.13.xml扫描 nc10.11.1.13 80 OPTIONS /script/ HTTP/1.1 Host:10.11.1.13检测开启了put方法 nikto-hhttp://192.168.179.142/dav/检测put方法 s检测是否开启put方法 ...
关于HTTP提交方式之PUT
Focus-Fe
11-20 977
Http定义了与 服务器的交互方法,其除了一般我们用的最多的GET,POST 其实还有PUT和DELETE   根据RFC2616标准(现行的HTTP/1.1)其实还有OPTIONS,GET,HEAD,POST,PUT,DELETE,TRACE,CONNECT   简单地结束一下吧。   1、PUT: 把消息本体的消息发送到一个URL,跟POST类似,但不常用。   简单地说:...
http post和put区别
weixin_34185512的博客
06-23 2590
POST是用来提交数据的。提交的数据放在HTTP请求的正文里,目的在于提交数据并用于服务器端的存储,而不允许用户过多的更改相应数据(主要是相对于在url 修改要麻烦很多)。PUT操作是幂等的。所谓幂等是指不管进行多少次操作,结果都一样。比如我用PUT修改一篇文章,然后在做同样的操作,每次操作后的结果并没有不同POST操作既不是安全的,也不是幂等的,比如常见的POST重复加载问题:当我们多次发出同样...
HTTP协议POST、GET、HEAD、PUT等请求方法
ssisse的博客
09-18 1万+
HTTP协议POST、GET、HEAD、PUT等请求方法 Http定义了与服务器交互的不同方法,最基本的方法有4种,分别是GET,POST,PUT,DELETE。URL全称是资源描述符,我们可以这样认为:一个URL地址,它用于描述一个网络上的资源,而HTTP的GET,POST,PUT,DELETE就对应着对这个资源的查,改,增,删4个操作。到这里,大家应该有个大概的了解了,GET一般用于获取
TCP/IP协议簇之HTTP协议
持之以恒,方得始终
09-30 8882
读完本篇文章将会了解以下问题 1.HTTP协议概述及特点 1.1 HTTP协议概述 1.2 HTTP协议特点 2. HTTP报文格式 2.1 HTTP请求报文 2.2HTTP响应报文 3.HTTP请求/响应头参数 3.1 通用请求首部 3.2常用请求头部参数 3.3常用响应头部参数 4.HTTP常用响应状态码 5.HTTP请求GET和POST的区别 6.一个完整的HTTP请...
http put请求
05-25
在这个例子,PUT请求被发送到`/path/to/resource`,请求包含一个JSON对象。`Content-Type`和`Content-Length`标头分别指定请求体的MIME类型和长度。 通常,PUT请求用于更新现有资源。如果资源不存在,服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值