一篇文章带你搞定CTF中http的常见应用

已于 2023-12-19 10:43:08 修改
阅读量639 收藏 10
点赞数 11
分类专栏: PHP特性 文章标签: http 网络协议 web安全 URL编码
于 2023-12-16 23:29:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csjjjd/article/details/135039127
版权
本文介绍了URL编码在网络安全竞赛中的应用,包括其原理、规则以及在实际挑战中如何利用URL编码进行数据传递和绕过安全机制。作者通过实例演示了如何对admin进行两次URL编码以满足特定条件获取flag。
摘要由CSDN通过智能技术生成

你真的会URL吗?

这里用一道题目举例:

这里是url编码在ctf的使用,很经典

原理:

URL编码是HTTP协议中使用的标准方法,它用于在创建HTTP请求时确保URL中的特殊字符得到妥善处理。HTTP协议是互联网上数据交换的基础,而URL编码确保了在这些交换过程中,数据(特别是URL中的数据)能以可预见和安全的方式发送和接收。

当你在Web浏览器的地址栏中输入URL或在Web表单中提交数据时,如果URL或表单数据包含非ASCII字符或特殊字符,HTTP客户端(如Web浏览器或其他HTTP工具)会进行URL编码,使得这些数据可以安全地通过HTTP请求传输到服务器。

实战:

URL编码的规则包括:

  • 安全字符:对于字母(A-Z, a-z)、数字(0-9)、破折号(-)、下划线(_)、句点(.)和波浪线(~),它们在URL中可以安全使用,不需要编码。(当然你可以私下用在线工具进行url编码,在URL编码中,每个百分号 "%" 后跟上两位十六进制数表示相应的字符,只是你在网页上输入网址经过url时不会自动帮你编码,也就是输入啥经过url后就是啥)
  • 不安全字符:空格、引号、< > % { } | \ ^ ~ [ ] 和删除键及控制字符经过了url后就会变成%xx的形式(为了保证安全传输,这些字符都会被url编码)
  • 但是如果遇到了安全字符的url编码形式,比如admin对于url编码后是%61%64%6d%69%6e,如果你在url输入这个后它就会自动帮你URL解码,直接变成admin
  • 举个例子比如:

”%61  %64%6d%69%6e“经过URL后会变成a%20%20dmin,(%20是空格表示形式)

现在学了基础知识,那就开始刷题,这道题还不是简简单单!

这里最终条件要求URL解码一次后会直接变成admin就可以输出flag,而且一开始还要绕过强等于,已经提示的很明显了,一开始就是要传入一个URL形式的字符串来绕过强相等,如果一开始不传URL编码,那后面那个URL解码岂不就是没有用了,只是要注意一下你一开始传一个URL编码形式的admin上去就会匹配安全字符,被解码一次,所以还得再编码一次。

payload:对admin进行两次URL编码即可

?id=%2561%2564%256d%2569%256e

补天阁
关注
专栏目录
CTFCrypty入门必看(密码类,密码学)
墨痕诉清风的博客
11-03 8135
ASCII码大致可以分为三部分组成:第一部分是:ASCII非打印控制字符第二部分是:ASCII打印字符;第三部分是:扩展ASCII打印字符。这是ASCII码表具体分析链接。
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
杨秀璋的专栏
09-09 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。上一篇文章分享了Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具;本篇文章将介绍社会工程学的IP物理位置定位、IP获取、手机和邮箱查找、文件属性等。希望对初学者有帮助,大神请飘过,谢谢各位看官! 文章目录一.社会工程学二.IP物理定位三.IP地址获取四...
CTF入门,看这一篇文章就够了
weixin_46003602的博客
07-27 659
CTF入门教程,干货多多,内容多多
CTF里面的WEB题的一些解决思路
热门推荐
DALE1186487104的博客
04-19 4万+
CTF里面解决WEB题的一些常用思路:(福利:末尾有视频链接)如图( 十八罗汉)                                                                                        PS:(下文的序列号是对图片序列号的一些补充)WEB常用的工具                                    (1...
CTF HTTP协议
Light_shoot的博客
10-22 788
超文本传输协议(Hypertext Transfer Protocol,HTTP)是一个简单的请求-响应协议,它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。简单来说就是客户端和服务端进行数据传输的一种规则。这里我们只需要了解报文格式,状态信息,请求头即可。
CTFHUB-WEB前置技能-HTTP协议-请求方式
K_ShenH的博客
06-08 2305
CTFHUB-WEB前置技能-HTTP协议-请求方式
CTF-HTTP
weixin_43070493的博客
03-19 865
CTF入门-HTTP请求方式 打开题目后,网页显示 HTTP Method is GET Use CTF**B Method, I will give you flag. Hint: If you got 「HTTP Method Not Allowed」 Error, you should request index.php. 题解 windows 下:(使用python) from urllib import request req = request.Request(method = "CTFHUB"
CTFWeb http-method通关教程
qq_45196785的博客
09-26 111
4、burp抓包,修改http请求方法为SEESEA。2、http-method,查看题目-启动动态环境。1、点击练习心-题目列表-Web
CTF_Web_HTTP协议
weixin_30433075的博客
11-18 755
HTTP简介 HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。 HTTP是一个基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件, 查询结果等)。 HTTP是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信...
CTFHubWebHTTP协议
qq_45927819的博客
08-04 765
文章目录curl使用方法请求方式方法一方法二302跳转方法一方法二Cookie方法一方法二基础认证响应包源代码 curl使用方法 参考https://blog.csdn.net/weixin_45694388/article/details/109594729? 请求方式 根据提示我们应该是需要修改请求方法为CTFHub,并且需要请求index.php 方法一 方法二 使用curl命令查看服务器的返回信息 curl -v -X CTFHUB challenge-9661cba9e188a4c8.sand
CTFHub Web http 请求方式
qq_54929891的博客
08-22 2989
通过在CSDN写博客,来记录学习的足迹,如果有不对的地方还希望各位大佬指正指正(*^__^*) 打开题目“显示HTTP的方法是GET方法,用CTF**B方法,我将会给你flag” 利用Burp Suite进行抓包 将方法改为CTFHUB(最开始我直接打的CTF**B,没想到*是让我自己猜) 然后再请求一次可以出flag ...
CTF那些脑洞大开的编码和加密
weixin_34344677的博客
07-18 3079
0x00 前言 正文开始之前先闲扯几句吧,玩CTF的小伙伴也许会遇到类似这样的问题:表哥,你知道这是什么加密吗?其实CTF脑洞密码题(非现代加密方式)一般都是各种古典密码的变形,一般出题者会对密文进行一些处理,但是会给留一些线索,所以写此文的目的是想给小伙伴做题时给一些参考,当然常在CTF里出现的编码也可以了解一下。本来是想尽快写出参考的文章,无奈期间被各种事情耽搁导致文章断断续续写了2个月,...
2024年最全2024国赛信息安全管理与评估样题及规程解读(2),2024年最新从基础到源码统统帮你搞定
2401_84301315的博客
05-05 773
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
常见编码和加密算法
liinux-Talk is cheap,show me the code.
05-17 1万+
0x00 前言 正文开始之前先闲扯几句吧,玩CTF的小伙伴也许会遇到类似这样的问题:表哥,你知道这是什么加密吗?其实CTF脑洞密码题(非现代加密方式)一般都是各种古典密码的变形,一般出题者会对密文进行一些处理,但是会给留一些线索,所以写此文的目的是想给小伙伴做题时给一些参考,当然常在CTF里出现的编码也可以了解一下。本来是想尽快写出参考的文章,无奈期间被各种事情耽搁导致文章断断续续写了2个月,文章肯定有许多没有提及到,欢迎小伙伴补充,总之,希望对小伙伴们有帮助吧! 0x01 目录 常见编码:
CTF入门--http请求头
Quartz's Blog
09-07 5068
这个也是很常见的操作,可能只能称为计算机使用技巧吧 通过修改referer字段,伪装自己从何而来初探题目 这里是要下载一个小文件,然而却被过滤了 显示如上图的内容开始分析http协议,是当前最多使用的互联网协议吧, 其这就是请求头用到的 两个: Referer: 作用: 提供了Request的上下文信息的服务器,告诉服务器我是从哪个链接过来的,比如从我主页上链接到一个朋友那里,
CTF-web基础 HTTP协议
2302_80276789的博客
08-04 1788
‌。
CTF-HTTP协议
treeywind的博客
04-29 671
对于CTFHTTP协议题目的基本解法的笔记
CTFHub-Web-HTTP协议
qq_54037445的博客
11-21 1965
CTFHub-Web-Web前置技能-HTTP协议 请求方式、302重定向、cookie、基础认证
CTFhttp请求抬头
最新发布
09-05
CTF (Capture The Flag) HTTP 请求头通常是指在网络渗透测试或信息安全挑战赛,当你尝试访问服务器或抓取数据时,浏览器发送给服务器的头部信息。HTTP 请求头包含了客户端的一些元数据,比如: 1. User-Agent:描述了发出请求的用户代理,如浏览器名称、版本等。 2. Accept:指定客户端可以接受的数据类型,如 HTML、JSON 等。 3. Authorization:用于身份验证,有时包含基本认证的 "Basic" 值或 Bearer Token。 4. Cookie:保存会话状态的信息。 5. Referer:表示请求来源于哪个页面。 6. Content-Type:请求体的内容类型,例如 POST 数据编码格式。 在 CTF 比赛,了解和分析这些请求头有助于理解服务的工作机制,找到漏洞或解决隐藏的任务提示。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值