CTFHub技能树:http协议 writeup

最新推荐文章于 2024-10-13 21:17:38 发布
最新推荐文章于 2024-10-13 21:17:38 发布
阅读量685 收藏 1
点赞数 1
分类专栏: CTF学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45653588/article/details/107518455
版权

0X00 请求方式
首先进去看见提示说http请求方式,使用CTFXXB方式,就可以得到flag。
在这里插入图片描述

于是使用burp抓包,将请求头的GET改为CTFHUB,发送
在这里插入图片描述在这里插入图片描述

响应内容里面得到了flag。
在这里插入图片描述

0X01 302跳转
首先进去看见界面,结合标题,点击链接重定向回index.html。
在这里插入图片描述在这里插入图片描述

在这可以使用curl查看,curl 命令是支持请求重定向的,可以通过 -L 参数配置,直接得到flag。
在这里插入图片描述

这题也可以使用burp抓包,发送得到flag。
在这里插入图片描述在这里插入图片描述

0X02 Cookie欺骗、认证、伪造
第三题进去后,提示说只有admin才能得到flag,结合标题得知应该是修改cookie进行cookie欺骗
在这里插入图片描述

Burp抓包后将cookie处的admin=0修改为admin=1,发送,得到flag。
在这里插入图片描述在这里插入图片描述

0X03 基础认证
第四题基础认证,点击click,弹出输入框,题目说“Do you know admin?”,尝试输入admin和admin,burp进行抓包。
在这里插入图片描述

看见请求头下方有个Authorization:Basic,后面接着一串字符串,应该是base64编码。
在这里插入图片描述

将其解码后得到admin:admin,就是我们输入的账号密码。
在这里插入图片描述

然后题目也给我们提供了一个字典供我们爆破。

在这里插入图片描述在这里插入图片描述

把字典导入burp,然后在每串字符串前面都加上admin:,并且进行base64编码。
在这里插入图片描述

利用intruder模块进行爆破,得到flag。
在这里插入图片描述
在这里插入图片描述

0X04 响应包源代码
第五题很简单,抓包看响应内容就得到了flag。

在这里插入图片描述

So4ms
关注
专栏目录
ctfhub技能树_web_web前置技能_HTTP
YanLucyqi的博客
11-28 2043
POST请求可能会导致新的资源的建立和/或已有资源的修改。重定向的返回码3XX说明。(7)点击Repeater,修改target(其中Host为网址的ip地址,Port为网址的端口号),并将内容粘贴进Request的Raw去。(7)点击Repeater,修改target(其中Host为网址的ip地址,Port为网址的端口号),并将内容粘贴进Request的Raw去。(7)点击Repeater,修改target(其中Host为网址的ip地址,Port为网址的端口号),并将内容粘贴进Request的Raw去。
CTFHUBWeb技能树——信息泄露writeup
生活·代码_这里是青_分享快乐
04-12 6936
CTFHUB writeup,web技能树之信息泄露,目录遍历、PHPINFO、备份文件下载、网站源码、bak文件、Vim缓存、.DS_Store、Git泄露、Log、Stash、Index;路径遍历攻击(也称为目录遍历)旨在访问存储在Web根文件夹之外的文件和目录。通过操纵带有“点-斜线”序列及其变化的文件或使用绝对文件路径来引用文件的变量,可以访问存储在文件系统上的任意文件和目录,包括应用程序源代码、配置和关键系统文件。需要注意的是,系统操作访问控制
ctfhub技能树---http协议
欲买桂花同载酒
09-13 799
CTFHub writeup http协议
红队是青春
05-26 565
CTFHub writeup http协议
CTFHUB-技能树-web-web前置技能-HTTP协议
qq_51780583的博客
06-03 1052
CTFHUB-web-web前置技能-HTTP协议,1.请求方式,2.302跳转,3.Cookie,4.基础认证,5.响应包源码
CTFHub数据库注入WriteUP
tangshuangsss的专栏
06-23 452
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介CTFHub 为网络安全工程师提供网络安全攻防技能培训、实战、技能提升等服务。「赛事中心」提供全网...
CTFHUB技能树HTTP协议
winofkill的博客
11-21 4997
ctfhub技能树http协议,请求方式,302跳转,cookie,基础认证,响应包源代码
ctfhub web全部做题记录(持续跟新)
01-08
CTF(Capture The Flag)】CTF是一种网络安全竞赛,其中参赛者通过解决各种安全问题来获取“旗标”(代表分数),这些问题通常涉及逆向工程、密码学、Web安全、取证分析等多个领域。 【Web安全】Web安全是网络...
CTFHub技能树.Web.SQL注入 WriteUp与SQL注入学习笔记
qq_45716477的博客
04-19 601
目录Level 1整数型注入字符型注入报错注入布尔盲注时间盲注欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 Level 1 整数型注入 输入1 and 1=1 和1 and 1=2 输
[CTF刷题篇]CTFHub之Web前置技能HTTP协议Writeup(5/5)
qq_43668710的博客
04-16 1136
CTFHub->Web->Web前置技能->HTTP协议->Writeup
CTFHub-技能树-Web-密码口令-(弱口令/默认口令)
F4lC0n的博客
06-15 5967
CTFHub 弱口令 打开题目一看就是这样的界面: 首先试了几个常用的: admin/admin admin/admin888 admin/password admin/123456 都是user or password is wrong em~ 然后就用bp抓包,用户名盲猜是admin,密码用的top100之类的密码字典,试了两三种,愣是没有跑出来,怀疑人生,然后百度了一下答案,发现好多人admin/password过去的,em~ 题目改了?又去试了几下,然后把用户名跟密码都用top100跑了一下,还是
CTFHub信息泄露WriteUP
tangshuangsss的专栏
05-28 753
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介CTFHub 为网络安全工程师提供网络安全攻防技能培训、实战、技能提升等服务。「赛事中心」提供全网...
网安萌新必看CTFHUB技能树HTTP协议(胎教级教程)
qq_64948897的博客
07-10 1100
网安萌新必看,ctf入门题解
ctfhub技能树—Web前置技能—HTTP协议
Naptmn的博客
02-06 554
1、请求方式 HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。 HTTP的请求方法如图 HTTP协议的格式如图 所以根据题目描述 我们只需要将请求协议改为CTFHUB即可 ok 我们用bp进行抓包 放到repeater中 请求方式改为CTFHUB send即可看到flag 2、302跳转 同样的,我们先来看一下什么是302跳转 https://blog.csdn.net/liangxy2014/article/details/78964928
CTFHub-技能树-HTTP协议-请求方式
pakho_C的博客
02-20 1753
打开靶场 得到提示,如果请求方法为CTFHUB,那么会得到flag 使用burp抓包进行修改GET为CTFHUB,得到flag 方法二: 可以使用curl命令进行指定方式的请求 curl 命令详解 payload: curl -v -X CTFHUB 网址 -v表示输出信息 -X表示使用指定的方式请求目标网站 ...
CTFHUB-WriteUp】pwn技能树-栈溢出-Ret2VDSO
qq_39933891的博客
03-11 1227
ops
CTFHub技能树 Web-前置技能-HTTP协议
weixin_45808483的博客
11-16 570
请求方式 HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。 启动环境 使用CTFHUB请求方法后,会提供flag 我们使用curl命令 因为 它可以指定我们想要的请求方式 curl windows自带命令 -v是详细信息,-X是指定请求方法 302跳转 HTTP临时重定向 点击Give me Flag后抓包,将index.html 改为 index.php 或者 使用curl 命令 -i, --include ...
CTFHub-技能树-HTTP协议-基础认证
pakho_C的博客
02-20 2118
打开靶场 点击click 需要登录,下载题目给的附件解压得到一个密码字典文件 显然需要我们爆破密码 先点击click抓包观察返回包有无提示信息 那么猜测用户名为admin 这里的思路可能有点问题,没有找到爆破的地方,经过几次输入之后,查看burp的流量检测,找到一个登录失败的页面查看 这里像是base64加密后的字符,解密查看 正是我刚才输入的用户名和密码 结合刚才的字典,明显要进行爆破,并且要将字典中的数据进行base64加密,这样才能符合它的规则,发送到burp的intruder模块进行爆.
CTFHUB文件上传全题writeup+相关知识点
最新发布
2301_81133001的博客
10-13 549
ctfhub文件上传全题writeup+相关知识点
2018强网杯CTF Web挑战解析:绕过与解密
"这篇文档是关于2018年第二届强网杯线上赛CTF(Capture The Flag)的Web挑战的解题总结,主要涉及网络安全和Web安全领域,适合CTF...对于想要提高这方面技能的人来说,这种类型的writeup提供了宝贵的资源和学习材料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值