GET与POST传参

最新推荐文章于 2024-03-06 10:40:05 发布
最新推荐文章于 2024-03-06 10:40:05 发布
阅读量1.6k 收藏 7
点赞数 1
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bouIevard/article/details/120313196
版权

连续两次遇到这题

$what=$_GET['what'];
echo $what;
if($what=='flag')
echo 'flag{****}';
$what=$_POST['what'];
echo $what;
if($what=='flag')
echo 'flag{****}';

一个是用get传参what=flag过去 另一个是用post方法传参

1.使用burpsuite

第一个就没抓包了 输入url:xxx.xxx.xxx.xxx:xxxx/?what=flag就ok了

第二个先抓包得到:

GET / HTTP/1.1
Host: 114.67.246.176:11188
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

发现是GET而不是POST,发送到REPEATER以后右键修改为POST:

POST / HTTP/1.1
Host: 114.67.246.176:11188
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

这时候就可以自己攥写数据包了:

我们要注入的数据是what=flag

那么先要把Content-Length改成9

然后到下面写入what=flag

POST / HTTP/1.1
Host: 114.67.246.176:11188
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 9

what=flag

就得到了服务器发来的包

HTTP/1.1 200 OK
Date: Wed, 15 Sep 2021 09:14:46 GMT
Server: Apache/2.4.7 (Ubuntu)
X-Powered-By: PHP/5.5.9-1ubuntu4.6
Vary: Accept-Encoding
Content-Length: 138
Connection: close
Content-Type: text/html

$what=$_POST['what'];<br>
echo $what;<br>
if($what=='flag')<br>
echo 'flag{****}';<br>


flagflag{726bc3fdeca4035d961e74712abd55af}

get到了flag以后提交玩就run

2.使用hackerbar

进入这个url以后,f12打开hackerbar

 上面输入url 下面点击post data以后输入what=flag然后execute注入

3.使用python

用python的request模块发过去参数就可以了

import requests 

url = 'http://114.67.246.176:19476'
data = {'what': 'flag'} 
print(requests.request('post', url, data=data).text)

执行以后终端里面出现了request的内容,可以找到flag 

 

bouIevard
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BurpSuite手册-016-Burp Suite tools-inspector
07-01
本人自己翻译的Burp Suite 专业版的中文手册,陆续更新,请期待
burpsuite怎么用get和post方式进行http请求?单独get或post请求以及两种方式混合请求,超详细演示
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
01-28 1237
在burp中怎么进行http常用的两种请求方式?
一文搞懂get、post传参
最新发布
到底要什么姿态,才不会显得我在使坏。
03-06 1622
(4)用@RequestParam注解修饰的字段前端必须有对应的参数传过来,用@RequestBody修饰的类,前端至少要传一个空的json串,json串内容不一定需要和类对应,json串中只要有类的字段,后端的类就会从中取出对应的字段并赋值。(3)不管是@GetMapping还是@PostMapping,除了@RequestBody注解对应的参数是通过json在body里面传参数外,@RequestParam注解和没有注解都是在url中传参数.@RequestParam的使用如下,具体到参数类型的字段。
burpsuite好用版本
11-09
破解版Burpsuite1.7.26,渗透测试必用利器,可设备浏览器代理方便抓包分析等。
Burp Suite使用介绍——Proxy功能(三)
01-05 1759
Scanner功能 UsingBurp Scanner 分以下几个步骤来简单使用Scanner 1.设置好代理之后在地址栏输入你要抓取的地址,并且要在Proxy里把拦截关了,随后切换到Scanner的Results就可以看到地址已经在开始扫描咯 2.对地址右击还可以导出报告, Html或者xml随便你以什么格式的,然后一直下一步下一步到如下图选择保存文件到哪
Burp Suite使用介绍
weixin_33769207的博客
05-10 2886
Burp Suite使用介绍(一)  22人收藏 收藏 2014/05/01 19:54 | 小乐天 | 工具收集 | 占个座先 Getting Started Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强...
GET和POST的区别以及传参详细解说
Jerry的博客
03-23 1万+
文章目录前言一、get和post的区别1、w3school 标准答案2、GET、POST 请求报文上的区别二、传参1.get传参2.post传参传入参数json传入参数data传入参数params总结 前言 该文章为自己学习及经验总结,里面可能会有不准确的地方,后续会不断的修正 文章内容主要针对软件测试人员需要掌握的范围 一、get和post的区别 1、w3school 标准答案 2、GET、POST 请求报文上的区别 GET 和 .
get 和 post传参
Zoocoo_Y的博客
10-25 465
来传递参数,而是直接使用/来传递,比如:http://127.0.0.1:7001/getBoy2/xiaohong/ ,这时候如果不传参数或者多传参数都会报错。在/app/controller/nq.js中,编写一个方法getBoy2().在这个方法中规定要传递的参数,然后在路由中配置需要传递的参数。规定了传递参数个数,且传参数的顺序是固定的,参数名称也是固定的,如果不传参数,或者是不按照约定好的传参顺序和个数,就会显示404的错误。2.get请求的参数暴露在URL中,因此不适合传递敏感信息。
post传参的方式及接收参数的方法
热门推荐
紫蝶侠的博客
01-08 6万+
1. url地址栏中传参 以?分割URL和传输数据,参数之间以&相连, 如:localhost:8080/user/?id=2&userName="王慢慢"&password="123655" 发送 接收 /** * *增加与修改的区别就是id是否为空,id为空是增加,id不为空是修改 * @param user ...
post和get的传参区别
灿的博客
02-28 1061
post和get的传参区别
get和post传参
2302_80414783的博客
10-26 487
2.可以传参到后台,传递的参数显示在地址栏,安全性低,且参数长度有限制(2048字符)。2.将传递的参数放在request body中,不会在地址栏中显示,参数没有长度限制。5.是通过url地址请求,产生的url地址可以被Bookmark。定义:get和post都是http协议的两种请求方式。8.参数直接暴露在url上,不能用来传输敏感信息。4.不会被缓存,也不好保留在浏览器的历史纪录中。4.可以被缓存,也会保留在浏览器的历史纪录。3.post请求会被重新请求一遍。7.post没有参数类型的限制。
java http 接口调用 的get和post传参方法
09-17
java实现调用httpclient接口的类和方法,包括了get和post传参方式,简单易懂
angular使用post、get向后台传参的问题实例
08-30
本篇文章主要介绍了angular使用post、get向后台传参的问题实例。小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
基于Django URL传参 FORM表单传数据 get post的用法实例
09-20
今天小编就为大家分享一篇基于Django URL传参 FORM表单传数据 get post的用法实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
asp.net页面与页面之间传参数值方法(post传值和get传值)
10-26
主要介绍了asp.net页面与页面之间传参数值方法,说明了post传值和get传值的使用方法,需要的朋友可以参考下
渗透测试基础之——burpsuite工具各模块的使用方法
wsnbbz的博客
01-02 1212
Proxy模块:抓包 1.首先开启intercept下的intercept is on进行抓包 2.打开代理服务器,就可在此处显示浏览网页抓到的数据包 点击forward,可以将拦截到的数据包释放,让数据进行传递。 Repeater模块:多次存放请求响应和更改抓到的请求消息内容 抓到数据包后点击Action,选择send to repeater ...
burpsuite抓包GET传参转为POST传参
Sk1y的博客
08-23 7649
GET和POST传参的对比
WEB入门——WEB基础
HasntStartIsOver的博客
05-26 1092
Phpstudy启动的web服务器,默认其其他机器是可以访问的,而我们测试用的网站一般都是有漏洞。所以如果phpstudy直接安装在物理机上,最好限制网站只允许本地访问。一般来说URL的长度不宜过长,所以需要传递的参数比较大,使用POST请求。POST相比GET安全一些,因为GET请求的参数直接暴露在URL上。——所以铭感信息不要使用GET参数传递。
CTFweb篇——GET&POST
suiyideAli的博客
09-21 2万+
0x00 前言 1. 首先使用BurpSuite 抓取一个http文件进行分析 2. 左边为请求信息,右边为响应信息;请求信息有三部分组成,分别为请求行、请求头、和请求正文组成。响应信息也有三部分组成,分别为响应行、响应 头、响应正文。 3. 首先可以看一下请求行 GET /index.php?tn=monline_3_dg HTTP/1.1 GET方法。GET方法用于获...
get和post传参的区别
08-14
在Web开发中,GET和POST是HTTP请求方法,用于在客户端和服务器之间传递数据。它们之间的主要区别在于数据传递的方式和使用场景。 GET方法将参数附加在URL的末尾,以查询字符串的形式发送到服务器。这些参数对于服务器和其他人都是可见的,因为它们包含在URL中。GET方法常用于从服务器请求数据,并且可以被书签和浏览器历史记录保存。但由于URL长度的限制,GET方法传递的数据量较小。 例如,通过GET方法传递参数的URL可能是这样的: ``` https://example.com/search?keyword=apple&page=1 ``` 相反,POST方法将参数作为请求的主体发送到服务器。这些参数对于服务器来说是不可见的,因为它们不会出现在URL中。POST方法常用于向服务器提交数据,如表单提交、文件上传等。由于参数不会暴露在URL中,并且可以发送大量数据,POST方法更适合传递敏感信息或大型数据。 无论是GET还是POST,服务器都可以从请求中获取参数并进行相应的处理。在编程中,我们可以通过不同的方式来获取和处理GET和POST参数,如在后端使用查询字符串解析器或表单解析器等。 总结起来,GET方法通过URL的查询字符串传递参数,对于请求数据量较小且不敏感的情况适用;而POST方法通过请求主体传递参数,对于请求数据量较大或包含敏感信息的情况更合适。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值