CTF学习打卡-----入门级小白篇二
***今天学习分享!!!
HackBar
hackbar是一款Firefox浏览器下的黑客插件,安全人员可以十分方便的用来进行sql注入以及xss测试或进行各种编码功能等,hackbar也是web渗透时的经典工具。
HackBar的下载及使用说明:
1.首先进入搜狐浏览器的扩展界面搜索HackBar;
2.选择第一个,点击添加到Firefox中,之后重启Firefox,安装完成,按F9键打开,下面会出现一个大框框就是hackbar了;
3.Load URL是将地址栏中的网络地址复制到hackbar中,这一行我们可以进行一些测试,在hackbar中回车是换行的意思只有点击Execute才可访问hackbar中的网址。
4.使用HackBar我们可以对url进行各种编码操作,解码操作和各种数据加密。
何为HTTP?
HTTP是超文本传输协议,其定义了客户端与服务器端之间文本传输的规范。HTTP默认使用的服务端端口是80端口,客户端使用的端口是动态分配的。当我们没有指定端口访问时,浏览器会默认帮我们添加80端口。我们也可以自己指定访问端口。
HTTP的请求方法:
HTTP/1.1协议中共定义了八种方法亦叫“动作”,来表明Request-URL指定的资源不同的操作方式。
(1)GET: 是用来请求URL指定的资源。指定资源经服务器端解析后返回响应内容;
(2) POST方法: 用来传输实体的主体;
(3) PUT方法: 用来传输文件。像FTP协议的文件上传一样,要求在请求报文主体中包含文件的内容,然后保存到请求URL指定的位置。
(4)OPTIONS:返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送’*'的请求来测试服务器的功能。
(5)HEAD:向服务器索要与GET请求相一致的响应,只不过响应体将不会被返回。这一方法可以在不必传输整个响应内容的情况下,就可以获取包含在响应消息头中的元信息。性。
(6)DELETE:请求服务器删除Request-URI所标识的资源。
(7) TRACE:回显服务器收到的请求,主要用于测试或诊断。
(8)CONNECT.
**其中在CTF中最常见的是GET 和POST 方法。
攻防世界练习
1.disabled_button
题目描述:X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?
点开场景我们发现里面的按钮确实不可以点击,那就直接查看源码吧!源码如下。
我们会发现在input的标签里有个“disabled=”,就是它禁用了input标签。所以
***我们的第一种方法是直接删了它!
删了之后发现按钮可以用了,并且点击了之后flag出现了!!!
***在这里我们再介绍一下第二种解法,这种解法用到我们之前下载的HackBar。
解析:既然不能点击那我们就手动添加。我们观察代码发现表单的提交方式为post,于是我们就应该想到这是要提交post数据。首先我们看name属性,name属性用于对提交到服务器上的表单数据进行标识,只有设置了name属性的表单元素才能在提交表单是传递它们的值到服务器。而这道题的name值为“auth”,换句话来说,这个表单传送数据时是以auth=表单数据传输的。
2.get_post
题目描述:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?
点开题目场景如上图所示
***第一种解法
根据题目意思提交,首先用get提交,get提交很简单,直接在原原地址后面加 ?a=1 即可进入第二个页面。
进入第二个页面后开始编辑HTML源码,我们可以在body部分加入一个提交方法为post的表单,然后在页面新出来的表单上输入2,点击提交就OK啦。表单代码为:
<form action="http://159.138.137.79:58572/?a=1" method="post">
<input type="text" name="b">
<input type="submit" value="提交">
</form>
****第二种解题方法
本次解题也要用到HackBar,直接看图
首先在URL后面直接加? a=1,进入第二个页面,之后用HackBar.
结尾
***今天的分享结束啦,明天继续!!!!
945
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
