hgame week1 Become A Member(http请求头,json请求)

已于 2023-01-19 18:12:43 修改
阅读量163 收藏 1
点赞数 1
文章标签: http 服务器 网络协议
于 2023-01-19 17:21:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74119193/article/details/128736264
版权

 看到题目描述猜测是http请求头方向的题目,引入相关知识:

Referer是 HTTP请求header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里有包含 Referer。比如我在www.sojson.com 里有一个www.baidu.com 链接,那么点击这个www.baidu.com ,它的header 信息里就有:

Referer=https://www.sojson.com

User-Agent

中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及浏览器版本、浏览器渲染引擎、浏览器语言、浏览器插件等。一些网站常常通过判断 UA 来给不同的操作系统、不同的浏览器发送不同的页面,因此可能造成某些页面无法在某个浏览器中正常显示,但通过伪装 UA 可以绕过检测。

X-Forwarded-For

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

当今多数缓存服务器的用户为大型ISP,为了通过缓存的方式来降低他们的外部带宽,他们常常通过鼓励或强制用户使用代理服务器来接入互联网。有些情况下,这些代理服务器是透明代理,用户甚至不知道自己正在使用代理上网。

点开靶机

第一个界面是让我们提供身份证明,用hackbar添加请求头User-Agent,然后界面又显示邀请码,这里我是连接了bp发现了setcookie code=guest,然后想到添加cookie请求头,但是要改成code=Vidar

 然后添加refer,还有X-Forwarded-For=127.0.0.1,

 很常规,但最后题目需要发送一个json请求,连上burp suite改数据

{"username":"luckytoday","password":"happy123"}

我的bp好像出故障了,更改请求头没有反应,不知道为什么,现在准备重装,图片也没截到,下次再说。

这道题我在比赛写的时候,第一反应就是连接bp,然后看到setcookie就以为第一步是更改cookie,联想了buu上的一道http题,但是一直都没有反应, 也有尝试其他请求头,不知道是不是我的bp那个时候就故障了,反正这道题没写出来真的很不应该,反思!

白色黑巧
关注
HGAME 2022 week1 个人部分WP
qazwsxeb的博客
02-10 3779
寒假期间,小萌新在家瞎搞CTF,也是第一次参加HGAME,整体来说题目是简单的,但对于我这个萌新菜鸟来说,还是一雾水,只会做一些简单的密码题,week1的web和misc还能做出几题,后面几周就完全不会了,二进制完全看不懂。。。已经坐牢有一段时间了,想想还是不要浪费时间,记录下这次比赛,也是一种学习。 本人还是个萌新,WP可能会存在很多错误,望各位大佬勿喷,也请多多指正。 web Tetris plus 描述:据说没人能超过 3000 分。要是做题做累了,就来玩玩小游戏吧(x 这道题很明显是玩游
hgame2022re week1
m0_58348028的博客
02-04 1027
easyasm 16位的汇编, 附件在这里:链接:https://pan.baidu.com/s/12Sk92AvtXV0rzaRmiBoKFA 提取码:h0r1 ida pro打开 通过分析这张图,我们可以知道在1处进行对比后若正确则走3处直接输出,若没有比对成功就走2处,由此循环直到si==1Ch,所以我们只需要分析2处是怎么处理的 seg003:0000 public start seg003:0000 start ..
http请求和响应格式,Json
最新发布
2302_80182440的博客
04-26 751
Json语法中一个对象由一个大括号表示,对象的属性以键值对的的形式表示,键以 "" 引住;一个Http请求报文由请求行,请求,和请求数据组成。Json反序列化:由json数据格式转换为java对象。Json序列化:由java对象转换为json数据格式。请求数据 : 以键值对的形式表示请求参数的数据;请求由键值对组成,以 键:值 的形式呈现;协议版本 状态码 状态码描述。响应:内容为多个键值对,格式为 键:值;请求的属性作为键,属性内容作为值;请求请求数据间有一行空行;一,http请求格式。
常见文件的mime类型
水痕
07-16 1万+
可以直接复制过去创建一个mime.json文件 { ".323":"text/h323" , ".3gp":"video/3gpp" , ".aab":"application/x-authoware-bin" , ".aam":"application/x-authoware-map" , ".aas":"application/x-authoware-seg" , ".acx
HTTP两种常见的请求方式与Hackbar简单介绍
Yihaoxiaobai的博客
10-06 1217
3、get请求直接在url后面拼接参数,可以传参到后台,但是会显示在地址栏。3、在网络环境差的情况下,两次包的TCP在验证数据包完整性上有很大的优点。3、post传参不会放在地址栏,而是放在request body 中。2、常见的发起get请求的方式:URL、src\herf、表单。2、在网络环境好的情况下,发一次包和发两次包的时间几乎相同。6、post请求不会被缓存,参数不会保留在浏览器中。6、get请求可以被缓存,参数会保留在浏览器历史中。1、post请求一般用于发送提交要被处理的数据。
【buuctf】 NewStarCTF 公开赛赛道 web:HTTP、Head?Header!、我真的会谢
weixin_46497491的博客
09-20 2607
NewStarCTF 公开赛赛道 web:HTTP、Head?Header!、我真的会谢
常见的HTTP请求和响应
m0_73727623的博客
01-12 456
常见的HTTP请求和响应
hgame-2018 CTFwp(杭电信安)week1
苟有恒,必有三更眠,五更起。
03-04 3095
原题链接 由于开放时间短,不知道什么时候结束。我会将题目的大致内容以图片形式down下来。 web1 Are you from Europe? URL http://123.206.203.108:10001/European.html 一看题,就感觉想是用burp抓包做,来自欧洲,就想到改语言,accept-langue字段。 但是,我试了en,gk等等值,并没有什么卵用。而且发现
http请求请求体相关设置
qq_43842093的博客
05-10 2242
【代码】http请求请求体相关设置。
HTTP请求信息
m1992222的博客
08-12 7261
HTTP 请求报文由3部分组成(请求行+请求+请求体)1、请求方法:例如最常用的GET和POST2、请求的URL地址3、HTTP协议名称和版本号4、报文:若干键值对形式的参数, 将客户端的相关信息传递给服务端5、报文体:发送给服务端的数据。......
常见的请求以及它们的作用是什么?(较详细)
m0_62913192的博客
02-08 9379
常见的请求有很多,列如X-Requested-With:它的作用是:异步请求等等。
【BUUCTF】 [极客大挑战 2019] Http Writeup —— CTFer必须要会的几种请求添加方式
algae
08-24 746
【BUUCTF】 [极客大挑战 2019] Http Writeup 0x00 考点请求请求添加的方式0x01 解题1、ModHeader2、Hackbar3、Burp Suite操作内容总结 ) 0x00 考点 请求 User-Agent:用什么游览器访问 Referer :当前页面是通过此来源页面里的链接进入的 X-Forwarded-For:获取最初发起请求客户端的IP地址 请求添加的方式 Hackbar ModHeader Burp Suite 游览器 手动加cookie 0x01
hackbar插件_渗透测试必备的一些chrome拓展插件
weixin_32516009的博客
11-28 2208
前言分享一波自己在用的一些chrome插件。有了好的武器能让我们在日站的时候事半功倍,要是各位师傅有更多好用的插件欢迎推荐,欢迎补充。插件推荐1、wappalyzer查看网站使用了哪些技术,配合上撒旦就可以更快熟悉目标。2、shodan(撒旦)查看网站ip,以及开放的端口,点进去还能看cve。3、EditThisCookie可以很方便修改已保存的cookie4、User-Agent Sw...
记一次解决HackBar无法提交post请求参数方法
m0_47470899的博客
07-15 1万+
问题背景 在做sqli-labs Less-11时,发现这是一个post请求,当尝试用hackbar提交SQL注入语句时,点击excute没有反应,困惑了好久,在网上搜索了各种解决办法,没有解决。然后试着换一个浏览器,用谷歌试一下,发现同样是无法正常提交,但是这次它有提示报错:form.submit is not a function 然后就在网上搜索这个报错,发现是submit的问题 form.submit is not a function解决办法 解决办法 初始post 更改后的(仅仅将submit
应用层 HTTP 代理服务器转发消息时的相关请求 X-Forwarded-For
小楼一夜听春雨,深巷明朝卖杏花
09-21 2712
如果用户在家里,它的IP地址是192.168.0.x,它通过运营商进行拨号上网,运营商给它提供的公网地址为115.204.33.1,然后经过一个正向代理,这个正向代理的地址是1.1.1.1,然后再经历一个cdn,假设这个cdn的地址是2.2.2.2,然后再到后面的反向代理,如果反向代理需要拿到用户的IP地址用作负载均衡的话,115.204.33.1是一个合适的IP地址,但是反向代理是直接从tcp连接当中拿到的地址是2.2.2.2,要怎么样拿到115.204.33.1呢?,要怎么传递客户端的地址到原服务器?
HTTP请求详解
热门推荐
Now . Or Never ``
12-08 12万+
<br /><br />HTTP由两部分组成:请求和响应。当你在Web浏览器中输入一个URL时,浏览器将根据你的要求创建并发送请求,该请求包含所输入的URL以及一些与浏览器本身相关的信息。当服务器收到这个请求时将返回一个响应,该响应包括与该请求相关的信息以及位于指定URL(如果有的话)的数据。直到浏览器解析该响应并显示出网页(或其他资源)为止。<br />HTTP请求<br />HTTP请求的格式如下所示:<br /><request-line><br /><headers><br /><blank lin
Http协议/JSON格式
qq_45802159的博客
11-23 1万+
计算机网络 计算机网络是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。计算机网络之间以何种规则进行通信,就是网络模型研究问题? 网络模型一般是指 OSI(Open System Interconnection开放系统互连)参考模型 TCP/IP参考模型 网络参考模型 在...
在线HTTP请求响应JSON工具
Linux,Java,SpringBoot,Python,Lua略知一点
05-11 2074
在线HTTP请求响应JSON工具 在线HTTP请求响应JSON工具 本工具可以将HTTP请求或者响应转换成JSON格式 本工具可以将HTTP请求或者响应转换成JSON格式 本工具可以将HTTP请求或者响应转换成JSON格式 https://tooltt.com/header2json/ ...
虚拟机挑战解析:hgame-week4-easyvm与cg-ctf WxyVM
"虚拟机题目解析,包括hgame-week4-easyvm、cg-ctf wxyVM1/2,涉及虚拟机基础知识、数据处理及逆向工程" 虚拟机技术是计算机科学中的一个重要领域,它允许在单一硬件系统上运行多个操作系统实例。在网络安全和密码...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值