2021/11/6-burpsuit抓包、网页源代码修改

已于 2022-02-16 15:46:44 修改
阅读量3.9k 收藏 1
点赞数
文章标签: 安全
于 2021-11-06 20:07:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54628962/article/details/121183784
版权
本文介绍了在攻防世界2021/11/6的WEB挑战中,如何使用BurpSuite进行抓包以及如何通过修改网页源代码来解除按钮的disabled属性,从而获取flag。
摘要由CSDN通过智能技术生成

2021/11/6攻防世界

WEB

1.cookie

打开网页打开网页
在这里插入图片描述
利用burpsuit抓包
在这里插入图片描述
第八行:cookie:look-here=cookie.php
则在网页IP后添加url后缀名cookie.php再次刷新页面并抓包
在这里插入图片描述得到此界面,在burpsuit,HTTP响应中得到flag
在这里插入图片描述

2.disabled_button

最低0.47元/天 解锁文章
柒七-l
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2023年国家护网0day-poc/exp漏洞全汇总(目前已更新到91个..实时更新中...)
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
08-21 3212
2023年国家护网目前收集到的0day和1day漏洞的poc或者exp大汇总,截止目前已更新到91个漏洞,本文会实时更新,有新的漏洞都会加上
不用root , 使用Burpsuite代理抓取Android https请求,看图说话,so easy!!不用charles ,不用root权限
独领fengsao的猫
11-19 3665
一、问题分析 一般来说安卓的APP端测试分为两个部分,一个是对APK包层面的检测,如apk本身是否加壳、源代码本身是否有恶意内嵌广告等的测试,另一个就是通过在本地架设代理服务器来抓取app的包分析是否存在漏洞。而通常使用最广泛的工具burpsuite对于采用http协议开发的app来说是可以抓包的,但是如果app采用了SSL或TLS加密传输的话,由于证书不被信任的关系将会导致无法抓包。解决方法就...
安全测试BurpSuite-抓包篡改数据
最新发布
爱咋咋咋滴
09-13 1759
(3)双击下载的证书进行安装,根据向导,把证书放在“受信任的根证书颁发机构”,能够在证书管理中查看该证书,安装成功。(2) 打开浏览器,访问burp,会出现证书下载界面,点击下载CA Certificate即可。启动浏览器有两种,一种是bp自带chromeiu。点击"forward"将修改后的参数发送给浏览器。二、burp suite配置对应的代理。1、浏览器chrome/火狐安装插件。4、抓到数据后,可以修改输入参数。另一种使用配置好的浏览器。2、配置对应的代理情景。
burpsuite抓包改包,url爬取相关工具
01-23
burp suite抓包工具可通过代理抓取web网站或手机app数据数据请求修改、调试相关请求数据
burpsuit学习--修改来源地址
weixin_30236595的博客
10-08 918
安装Burpsuit: 安装JAVA 环境 JDK 命令: Java –jar burpsuite_v1.4.jar 创建批处理运行就行了 proxy -> options 设置代理 -------------- IE 上设置代理 -》连接-》局域网 这里就可以监视了 Proxy -> History -&gt...
iOS Burp Suite 抓包 篡改数据
weixin_34326179的博客
12-13 1032
#####不管什么工具有一阵子或者长时间不用就忘记了, 自己记录一下平时的使用习惯和方法 ######1.设置代理 Proxy->Options->Add ######2.设置抓取返回的数据包(默认是只能抓取请求数据包) Proxy->Options->Intercept Server Responses->ntercept responses based on ...
使用burpsuite篡改页面
qq_46738968的博客
06-05 1962
1、burpsuite配置如下 2、 我这里使用的是火狐浏览器,其他浏览器操作类似,火狐浏览器代理服务器配置如下,这里的ip要和burpsuite里设置的一样,使用127.0.0.1不可以拦截页面的,建议尝试一下 填本机ip 3、 开启代理,访问http://burp,下载burpsuite证书 4、进入火狐浏览器导入证书 5、 开启拦截功能,is on是开启,is off 关闭 6、天猫搜索freeplus 7、这时burpsuite已拦截到请求,在burpsuite中将freeplus改
fiddler之header、web网页抓包修改
01-08
HTTP协议Header介绍     查看Header:         选中一个HTTP请求—>单击Inspectors tab—>request tab—>Headers         Cache相关的Header:             HTTP请求和HTTP响应中有很多用于缓存的Header             HTTP缓存是指当Web请求抵达缓存时,如果本地有“已缓存的”副本,就会从本地存储设备提取此文档         Cookies:             Cookies是一种HTTP Header         Accept:             表示浏览器客户
文件包含中过滤了php,文件包含漏洞---php协议
weixin_32480335的博客
03-21 712
一、原理1、概念:在php代码中,总会有一些代码我们会经常用到,这时引入了文件包含函数,可以通过文件包含函数把这些代码文件包含进来,直接使用文件中的代码,这样提高了我们的工作效率。2、文件包含函数:include():如果发生错误,会产生一个警告然后继续执行脚本include_once():与include()相同,如果文件之前被包含过则不再包含require():会停止执行代码require_o...
文件上传漏之Durian靶场练习——渗透day13
qq_62716256的博客
09-14 1909
文件上传漏之Durian靶场练习——渗透day13
http抓包实践--(二)--web网页抓包和fiddler修改
weixin_42349568的博客
09-08 1510
一,在浏览器输入一个url 二,输入百度的例子 1,依据父请求,寻找子请求 2,依据子请求,寻找父请求 同样的,找到一个子请求,然后右键选择父请求即可。 三,查看各个请求的花费时间 四,查看不同类型的 http响应 html格式的: 响应是图片格式的: 响应是json格式的: ...
通过BurpSuite修改Web前端对Upload文件的限制
qq_27466929的博客
11-15 4301
在Web渗透的文件上传实验中,我们将超过1M的文件上传到DVWA,会提示“Your image was not uploaded.” 后端源码没有发现类似文件类型、文件大小的限制,那么问题出在哪儿呢? 通过前端代码我们发现,此处限制了文件不超过100000字节≈100KB,所以出现之前的报错; 解决方案: 1、打开BurpSuite并开启代理;设置浏览器代理服务器为127.0.0.1:8080; 2、重新上传文件 Post请求会通过burpsuite,在我们执行Forward
Burp Suite抓包、截包和改包
热门推荐
无节操
03-13 4万+
Burp Suite。。呵呵。。 听说Burp Suite是可以监测、截取、修改我们访问web应用的数据包,这么牛X? 条件:本地网络使用代理,由Burp Suite来代理。也就是说,每个流出外网的web数据包都必须经过Burp Suite,她想动你的数据包,你说可以不? 0、配置 本地网络代理配置:Windows下,打开IE——>设置——>Internet 选项——>连接——>局域网设置
BurpSuite修改服务器端返回数据
MZ21G的博客
12-04 1万+
在代理的设置选项中勾选拦截服务端数据 访问目标网页,在代理的拦截选项中右键选择”Respense to this requests“ 然后forward发送,可以看到服务器端返回的数据 这里还没有传递到浏览器,可以在这里修改数据,这里我删掉了script代码,并在body里边添加了我的名字 点击forward 数据修改完毕 有一些网址的后台登陆验证,如果检测登陆失败会返回302状态码,然后js跳转到首页,这个时候可以修改返回包的信息,状态码改成200,然后删除js代码即..
burpsuite更改html源码,burpsuite 可以移除 form 和页面的javascript
weixin_39611389的博客
06-11 453
burp suite 安全工具如果只在客户端进行一些校验,但是后台不校验,这样会有很多的安全隐患。burpsuit HTML modificationAnother interesting feature of Burp Proxy is the automatic HTML modification, that can beactivated and configured in the app...
Web-HTTP协议5题记录,请求方式、302跳转、cookie、基础认证、响应包源代码-burpsuite部分功能的使用
qq_45607390的博客
07-23 486
1.请求方式 可以看到此处HTTP请求方式为GET,改为CTF**B后可以得到flag 将抓到的包send to repeter发现GET,改为CTF**B后go,没有得到flag,再将其改为CTFHUB,成功得到flag,如下图 2.302跳转 点击超链接give me flag抓包 可以发现一个302状态码的网址,此为跳转网址的状态码,查看response成功得到flag 3.Cookie 可以看到only admin can get flag 进行抓包 发现此处admin=0结合题目
使用burpsuite伪造数据数据
m0_60121089的博客
09-19 2774
代理设置:本地环回地址(如:127.0.0.1)和端口(8080),浏览器请求数据包就会先发送到127.0.0.1:8080上,然后在转发给服务端。使用bp在127.0.0.1:8080上监听,开启拦截功能,就会抓到请求数据包,点击forward才将数据包转发给服务端。根据题目要求,使用bp抓取关键数据包,更改数据包的数据,再转发出去,达到伪造的效果。搜索引擎可以辅助解题。
阅读sqlmap源代码,编写burpsuite插件--sqlmapapi
weixin_34161083的博客
06-11 165
burpsuite插件编写---sql injection 0x00 概要 在安全测试过程中,大部分人会使用burpsuite的scanner模块进行测试,可以发现一些浅显的漏洞:比如xss、sql injection、c***f、xxe、Arbitrary file existence disclosure in Act、明文传输等。说到sql injection,测试人员都会有一种想法是否存在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值