【XCTF 攻防世界 web 练习详解系列(二)】【get_post的两种解法】

已于 2022-01-21 21:35:01 修改
阅读量763 收藏
点赞数 1
分类专栏: 渗透测试 文章标签: 前端 渗透测试
于 2022-01-21 21:34:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41691212/article/details/122629175
版权

目录

get_post

题目链接

题目描述

X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?

知识点

HTTP中GET、POST用法以及它们的区别

HTTP定义了与服务器交互的不同方法,最基本的方法有4种,分别是GET,POST,PUT,DELETE。URL全称是资源描述符。我们可以这样认为: 一个URL地址,它用于描述一个网络上的资源,而HTTP中的GET,POST,PUT,DELETE就对应着对这个资源的 查,改,增,删 4个操作。到这里,大家应该有个大概的了解了,GET一般用于获取/查询资源信息,而POST一般用于更新资源信息。
浅谈HTTP中GET、POST用法以及它们的区别

工具的使用

这道题涉及数据包的修改,需要用到相关工具,例如Burp Suite和火狐的插件Max HacKBar,这些都是和WEB安全相关的工具。

题解

方法1

打开火狐浏览器,输入地址
在这里插入图片描述
在url后面加上?a=1
在这里插入图片描述
一般来说到这一步不借助其他工具是解不了这道题,方法一用的Burp Suite工具,要是不会安装和使用的可以留言,直接看方法二吧。
首先打开代理,这里我用的是谷歌浏览器的插件Proxy SwitchyOmega,安装过程可以看看我的博客。然后打开Burp Suite,刷新页面,拦截数据包,数据包如下。
在这里插入图片描述
可以看到GET的请求是空的,当我在后面加上?a=1未发送时如下图
在这里插入图片描述
发送出去时页面发送了变化在这里插入图片描述
把数据包发送到重发器看得更清楚。
在这里插入图片描述
在重发器里面修改和添加以下内容
1.将头部中第一行中的GET改成POST
2.POST头部数据格式声明Content-Type: application/x-www-form-urlencoded
3.post变量b=2
在这里插入图片描述

方法2

打开火狐浏览器,输入地址
在这里插入图片描述
在火狐浏览器里面装一个插件Max HacKBar,点击安装
在这里插入图片描述
下载后打开开发者工具,找到Max HacKBar先输入加上?a=1的url地址,点击Execution。
在这里插入图片描述
勾选Post Data,会出现一个框,在下面输入b=2,再点击Execution。
在这里插入图片描述
注意不要下载HackBar,之前是免费的,现在要钱了。
在这里插入图片描述

粥粥粥少女的拧发条鸟
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
XCTF攻防世界web.doc
09-19
总结来说,XCTF攻防世界Web系列挑战涵盖了Web安全的多个方面,从基本的源代码查看到复杂的JavaScript逻辑分析,每个环节都需要参赛者具备扎实的Web基础知识和敏锐的洞察能力。通过解决这些挑战,参与者不仅能提高...
XCTF-RE】新手练习区-getit
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/aba4sn
XCTF get_post
weixin_30514745的博客
07-10 483
题目描述:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗? 根据题目我用GET方式提交了一个a=1,一开始我就使用了hackbar提交a=1结果没反应。。。然后在ur后添加/?a=1显示 这个时候再用hackbar提交b=2,即可得到flag 可得到flag为: cyberpeace{7c0eff28f68486cc92acea2d13c6fb09} ...
xctf_get_post
bring_coco的博客
07-11 403
get_post [目标] 练习两种请求方式 [环境] Windows [工具] 浏览器 Hackbar插件 [分析] 1.通过直接url输入get请求方式 用GET给后端传参的方法是:在?后跟变量名字,不同变量之间用&隔开 2.post就需要利用hackbar 因此得出flag ...
http请求的8种方式(不知道个几种是不是太low了)
qq_36031513的博客
09-05 778
http请求
XCTF_Web_新手练习区:get_post
1stPeak's Blog
02-16 578
题:get_post 目标: 了解http请求方法,此处考察get和post两个最常用的请求方法。 HTTP协议中共定义了八种方法或者叫“动作”来表明对Request-URI指定的资源的不同操作方式,具体介绍如下: GET:向特定的资源发出请求。 POST:向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。POST请求可能会导致新的资源的创建和/或已...
[零基础学python]探析get和post方法
01-04 171
"Do not store up for yourselves treasures on earth, where moth and rust consume and where thieves break in and steal; but store up for yourselves treasures in heaven, where neither moth and rust consu
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习区-re1.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ugg9gy
HTTP协议解析(提取URL、计算get post成功率、计算响应时延)
05-05
才学不久,参考了网上一些人写的代码自己摸索着写的。初学难免有错误,希望大家不吝指正 代码说明:主要实现了提取特定pcap包中的http协议的url,并且计算了get、post成功率,计算了http协议响应的时延
XCTF web新手 get_post
Activeclown的博客
04-29 730
1.题目描述:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗? 2.题目分析:HTTP通常使用的两种请求方法就是get和post GET - 从指定的资源请求数据。 POST - 向指定的资源提交要被处理的数据 GET 方法:查询字符串是在 GET 请求的 URL 中发送的 POST方法:查询字符串是在 POST 请求的 HTTP 消息主体中发送的 3.解题步骤: 进入系统给的...
XCTF Web 新手区008:get_post
立志成为最会敲代码的dancer,最会locking的程序猿
04-01 262
题目: WP: 本题考察GET请求和POST请求 输入a=1 得到如下 这个时候再用hackbar提交b=2,即可得到flag get直接在url后输入 post可以用hackbar的post data输入
XCTF WEB get_post
无限迭代中......
06-30 1207
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5062 版本一 工具:火狐浏览器插件hackbar 题解: 版本 题解: 访问http://111.198.29.45:53678/?a=1 修改HTML ...
攻防世界——新手区——get_post
weixin_45864041的博客
08-15 390
根据题目的要求进行get传参 get传参后,又要求用post传参,post传参可以使用火狐浏览器的插件harkbar(需要付费)。我用的是免费的max harkbar。当然也可用burpsuite抓包后进行post传参。 post传参后得到答案 ...
XCTF嘉年华体验赛
计算机小白的博客
08-01 1305
链接:http://oj.xctf.org.cn/web/practice/defensetrain/465f6bb8f4ad4d65a70cce2bd69dfacf/re1拿到题目放入Winhex,发现是ELF文件: 用IDA打开以后F5: 很简单。。。就是4位数,满足一定的要求。其中的atoi函数就是把字符串转换为数字。 代码:for v5 in range(0, 10000):
XCTF web新手练习区_1-12
H4ppyD0g的博客
07-15 2327
view_source 查看网页源码的方法: (1) F12(如果只按F12没反应,就功能键+F12)可以查看网页源码。 (2) 网页源码的url以view-source: 开头。在本网页的url前面加上这个可以获取。 (3) 通过python的requests.get()可以获取网页源码。 ———————————— get_post ...
攻防世界小白入门题全解CTF入门
最新发布
2302_80059204的博客
12-20 1205
代码审计一下,就是从pass列表中抽取一些数字,将数字转化成十六进制并合并成字符串,这个字符串就是我们被转化的flag的值,那我们需要的就是把这个十六进制的字符串转化成ASCII值字符串进行输出,就是我们flag的内容。开启环境可以看到,是一片空白,这时候需要用到我们的抓包工具(俗称F12),鼠标右键不行,好办直接F12,打开抓包查看这个网页的HTML源码或者js源码,可以看到我们这一道题的flag。它是网站与搜索引擎爬虫间的一个标准协议,主要是用来告知爬虫哪些页面是可以抓取的,哪些页面是不能抓取的。
攻防世界6-10题
yxltx_的博客
11-12 375
第六题
攻防世界序列化漏洞详解与利用
"攻防世界序列化问题详解" 在网络安全领域,尤其是CTF(Capture The Flag)挑战中,序列化和反序列化是常见的漏洞利用点。本篇内容主要聚焦于攻防世界平台中涉及的序列化问题,通过一道具体的题目来深入解析这一...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

粥粥粥少女的拧发条鸟

你的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值