20220129--CTF刷题--- WEB方向--简单题--含常见的 HTTP请求头知识点总结

最新推荐文章于 2024-05-30 17:06:36 发布
最新推荐文章于 2024-05-30 17:06:36 发布
阅读量4.9k 收藏 12
点赞数 1
分类专栏: CTF刷题 文章标签: http 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51550750/article/details/122748307
版权

20220129–CTF刷题— WEB方向–简单题–常见的 HTTP请求头–含总结

刷题网站:攻防世界 https://adworld.xctf.org.cn/

关于更多的刷题平台汇总:这是我自己的汇总(也包含自己可以在本地搭建的 网站)
https://blog.csdn.net/qq_51550750/article/details/122748075

在这里插入图片描述
在这里插入图片描述

于是开启代理,开始burp抓包:
添加上X-Forwarded-For的头:
在这里插入图片描述
得到相应:
在这里插入图片描述
根据提示再加上referer的头:
在这里插入图片描述
最终得到flag:cyberpeace{25444a12e0172eb21135243be10d4a3a}
在这里插入图片描述
回顾:这道题主要利用了HTTP的几个重要的头,总结如下。
HTTP的几个重要的头

X-Forwarded-For

X-Forwarded-For 是一个扩展头。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP,现在已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用

X-Forwarded-For请求头格式非常简单入 RFC 7239(Forwarded HTTP Extension)标准之中

X-Forwarded-For:client, proxy1, proxy2

绕过:Client-ip(有时会用到)

Referer

什么是referer头

HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。

从主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。
Referer的正确英语拼法是referrer。由于早期HTTP规范的拼写错误,为了保持向后兼容就将错就错了。其它网络技术的规范企图修正此问题,使用正确拼法,所以拼法不统一。

在JSP中获取REFERER的方式是:request.getHeader(“REFERER”);
在PHP中获取REFERER的方式是:$_SERVER[‘HTTP_REFERER’];

Referer的格式
Referer: http://www.test.com

User_agent

User Agent中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。

Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:0.9.4) Gecko/20011128 Netscape6/6.2.1 在 Linux 中的 SeaMonkey 1.1a:

Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1b2) Gecko/20060823 SeaMonkey/1.1a 在 Windows XP 中的 Firefox 2.0.0.11 :
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11 Mac OS X 中的 Camino 1.5.1:

qq_51550750
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF入门--http请求
Quartz's Blog
09-07 4916
这个也是很常见的操作,可能只能称为计算机使用技巧吧 通过修改referer字段,伪装自己从何而来初探目 这里是要下载一个小文件,然而却被过滤了 显示如上图的内容开始分析http协议,是当前最多使用的互联网协议吧, 其中这就是请求头中用到的 两个: Referer: 作用: 提供了Request的上下文信息的服务器,告诉服务器我是从哪个链接过来的,比如从我主页上链接到一个朋友那里,
CTF-100.-天天练习-学习
11-01
CTF-100.-----------------天天练习------------------学习 100小,试例练习
CTF-WEB——HTTP Headers类型
qq_45521281的博客
04-26 6897
基本套路 此类型就是套路: burpsuite抓包,重放,并根据目要求多次重放,最终满足全部要求后获得flag。 Header请求头参数详解 Header 解释 示例 Accept 指定客户端能够接收的内容类型 Accept: text/plain, text/html,application/json Accept-Charset 浏览器可以接受的字符编码集。 Accep...
HTTP请求
最新发布
dly090280230526的博客
05-30 338
X-Forwarded-Host 部是在HTTP代理或负载均衡器后面使用的。X-Forwarded-For:用于记录客户端的IP地址,特别在使用代理服务器时。X-Requested-With:用于指示请求的类型,例如XMLHttpRequest。X-Csrf-Token:用于防止跨站请求伪造攻击。X-Content-Type-Options:用于指示浏览器是否应该自动处理响应体的MIME类型,例如nosniff。
http请求的几种方法
only_的博客
09-05 1015
1.GET 发送请求来获得服务器上的资源,请求体中不会包请求数据,请求数据放在协议中。另外get支持快取、缓存、可保留书签等。幂等 2.POST 和get一样很常见,向服务器提交资源让服务器处理,比如提交表单、上传文件等,可能导致建立新的资源或者对原有资源的修改。提交的资源放在请求体中。不支持快取。非幂等 3.HEAD 本质和get一样,但是响应中没有呈现数据,而是http信息,主...
CTF web入门——HTTP相关的----修改请求头、伪造Cookie类目——Bugku Web目详细
热门推荐
日熙的博客
07-25 6万+
目一:Bugku 程序员本地网站 1.打开目显示如下: 目二:Bugku 管理员系统 目三:XCTF xff_referer
CTF-Web27(涉及请求头伪造--基础)
→_→
09-30 6024
27.貌似有点难 分析: <?php function GetIP(){ if(!empty($_SERVER["HTTP_CLIENT_IP"])) $cip = $_SERVER["HTTP_CLIENT_IP"]; else if(!empty($_SERVER["HTTP_X_FORWARDED_FOR"])) $cip = $_SERVER["HTTP_X_FORWARDED_FOR"]; else if(!empty($_SERVER["REMOT...
CTF-HTTP(持续更新)
m0_74317362的博客
07-27 721
HTTP请求
CTF-MISC关于各类编码习(湖工商扛把子)
03-17
在网络安全领域,尤其是Capture The Flag (CTF)竞赛中,Miscellaneous(杂项)部分常常涉及到各种编码问。这类目通常测试参赛者对不同编码格式的理解和应用能力,包括但不限于ASCII、Unicode、Base64、Hex、URL...
CTF比赛中的常见型-适合初学者
08-17
CTF比赛中的常见型--适合初学者
F5-steganography图片隐写工具,带使用方法,内CTF群及所有工具包
11-29
F5-steganography图片隐写工具,带使用方法,内CTF群及所有工具包
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF 用于伪造iphttp请求
b1ackc4t的博客
02-22 2684
X-Forwarded-For:127.0.0.1 Client-ip:127.0.0.1 X-Client-IP:127.0.0.1 X-Remote-IP:127.0.0.1 X-Rriginating-IP:127.0.0.1 X-Remote-addr:127.0.0.1 HTTP_CLIENT_IP:127.0.0.1 X-Real-IP:127.0.0.1 X-Originating-IP:127.0.0.1 via:127.0.0.1
CTF-web】修改请求头(XFF)
Sankkl1的博客
08-13 883
该请求标是一个事实上的用于标识通过代理服务器连接到 web 服务器的客户端的原始 IP 地址的标。我们可以通过伪造XFF来假装本地登录,即在request中加入。随意输入后可以看到需要本地管理员登录,得知这是一道需要修改XFF
CTFHub-Web-HTTP协议
qq_54037445的博客
11-21 1603
CTFHub-Web-Web前置技能-HTTP协议 请求方式、302重定向、cookie、基础认证
CTF-WEB入门学习笔记
m0_62945162的博客
06-13 601
CTF-WEB学习笔记分享
CTF web 代理相关
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
10-29 1833
背景 有三虚拟机:虚拟机a、虚拟机service-provider、虚拟机c,我们只能访问虚拟机a的8080端口及其提供的web服务,其中包括访问虚拟机service-provider的代理服务;虚拟机service-provider的web服务没有对外端口,提供访问虚拟机c的代理;虚拟机c没有对外提供服务。 来看虚拟机a的代理服务: // 虚拟机a @PostMapping({"/user"}) public String getUserInfo(HttpServletRequest reques
CTFHUB前置知识——http协议
Lucky小小吴的小屋
10-21 1085
CTFHUB前置知识——http协议
用burpsuite抓包,谷歌 / 火狐浏览器 该怎么设置BurpSuite代理?——超详细教程——CTF Web小白入门基础篇
日熙的博客
07-20 1万+
以下是我自己操作过的,理一理思路。 使用BurpSuite的套路是:浏览器设置BurpSuite代理——>BurpSuite 调至on状态——>访问web程序——>进行抓包分析 下面以火狐和谷歌两个例子分开讲: 一、谷歌: 首先burpsuite设置: 然后: 1.下载插件:chrome://extensions 2. (与burp一致) 3.可以使用了 4.不出意外 ...
CTF WEB总结第六课实战练习(二) - 入门第一部分
这份文档是关于CTF web型的总结,主要以第六课的实战练习为基础进行描述。文档要求总字数为2000字。 文档以CTF web总结为标,通过引用资源文件和目名称来支持内容描述。内容分为入门第一部分和具体目的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值