20220129--CTF刷题--- WEB方向--简单题--含常见的 HTTP请求头知识点总结

最新推荐文章于 2024-09-23 22:01:36 发布
最新推荐文章于 2024-09-23 22:01:36 发布
阅读量5.2k 收藏 13
点赞数 1
分类专栏: CTF刷题 文章标签: http 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51550750/article/details/122748307
版权

20220129–CTF刷题— WEB方向–简单题–常见的 HTTP请求头–含总结

刷题网站:攻防世界 https://adworld.xctf.org.cn/

关于更多的刷题平台汇总:这是我自己的汇总(也包含自己可以在本地搭建的 网站)
https://blog.csdn.net/qq_51550750/article/details/122748075

在这里插入图片描述
在这里插入图片描述

于是开启代理,开始burp抓包:
添加上X-Forwarded-For的头:
在这里插入图片描述
得到相应:
在这里插入图片描述
根据提示再加上referer的头:
在这里插入图片描述
最终得到flag:cyberpeace{25444a12e0172eb21135243be10d4a3a}
在这里插入图片描述
回顾:这道题主要利用了HTTP的几个重要的头,总结如下。
HTTP的几个重要的头

X-Forwarded-For

X-Forwarded-For 是一个扩展头。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP,现在已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用

X-Forwarded-For请求头格式非常简单入 RFC 7239(Forwarded HTTP Extension)标准之中

X-Forwarded-For:client, proxy1, proxy2

绕过:Client-ip(有时会用到)

Referer

什么是referer头

HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。

从主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。
Referer的正确英语拼法是referrer。由于早期HTTP规范的拼写错误,为了保持向后兼容就将错就错了。其它网络技术的规范企图修正此问题,使用正确拼法,所以拼法不统一。

在JSP中获取REFERER的方式是:request.getHeader(“REFERER”);
在PHP中获取REFERER的方式是:$_SERVER[‘HTTP_REFERER’];

Referer的格式
Referer: http://www.test.com

User_agent

User Agent中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。

Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:0.9.4) Gecko/20011128 Netscape6/6.2.1 在 Linux 中的 SeaMonkey 1.1a:

Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1b2) Gecko/20060823 SeaMonkey/1.1a 在 Windows XP 中的 Firefox 2.0.0.11 :
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11 Mac OS X 中的 Camino 1.5.1:

qq_51550750
关注
专栏目录
CTFHub HTTP协议前三
qq_63575829的博客
03-31 897
请求方式 提示HTTP请求方式为GET,若改为CTFHUB将得到flag 使用burp抓包,将GET改为CTFHUB,go后得到flag 302跳转 打开目,提示HTTP临时重定向(指的是服务器无法处理发送的请求于是跳转到了一个可以处理请求的url上,而过程不会有任何提示,使用户无法分辨是否进行了重定向) 访问网页发现give me flag的链接,点击后不会有任何反应,怀疑此环节重定向了 使用burp抓包,使用repeater重新请求,得到flag cookie ..
CTF入门--http请求
Quartz's Blog
09-07 5061
这个也是很常见的操作,可能只能称为计算机使用技巧吧 通过修改referer字段,伪装自己从何而来初探目 这里是要下载一个小文件,然而却被过滤了 显示如上图的内容开始分析http协议,是当前最多使用的互联网协议吧, 其中这就是请求头中用到的 两个: Referer: 作用: 提供了Request的上下文信息的服务器,告诉服务器我是从哪个链接过来的,比如从我主页上链接到一个朋友那里,
CTFWeb目的常见型及解方法
徐徐徐的博客
09-09 2154
双写顾名思义就是将被过滤的关键字符写两遍,比如,如果要添加XSS Payload,又需要插入标签,就可以构造如下的Payload:来绕过对标签的单次过滤限制。如果过滤了某个必须要用的字符串,输入的内容是以GET方式获取的(也就是直接在地址栏中输入),可以采用url编码绕过的方式。SQL注入是一种灵活而复杂的攻击方式,归根结底还是考察对SQL语言的了解和根据输入不同数据网页的反应对后台语句的判断,当然也有sqlmap这样的自动化工具可以使用。
攻防世界----xff_referer
最新发布
qq_45021843的博客
09-23 492
结合抓包、改包,考察XFF及referer,读者可躬身实践。我们下次再见喽。
CTF-HTTP协议
treeywind的博客
04-29 650
对于CTFHTTP协议目的基本解法的笔记
#ctf姿势#http协议
vircorns的博客
08-12 1309
小结指路 Method GET 参数数据跟在地址栏以后,以?开,用&分割 明文传输,不适合提交敏感密码 四舍五入 bugku简单目GET POST Hackbar或者cmd后curl -v URL -X POST -d post=flag 提交参数数据没有限制 bugku简单目POST XCTF简单目 HEAD PUT DELETE TRACE CONNECT O...
CTF-WEB——HTTP Headers类型
qq_45521281的博客
04-26 7693
基本套路 此类型就是套路: burpsuite抓包,重放,并根据目要求多次重放,最终满足全部要求后获得flag。 Header请求头参数详解 Header 解释 示例 Accept 指定客户端能够接收的内容类型 Accept: text/plain, text/html,application/json Accept-Charset 浏览器可以接受的字符编码集。 Accep...
web:了解http基本协议--极客大挑战【网络攻防CTF】(保姆级图文)
MZH
04-22 4387
web:了解http基本协议--极客大挑战【网络攻防CTF】(保姆级图文)
http请求的几种方法
only_的博客
09-05 1071
1.GET 发送请求来获得服务器上的资源,请求体中不会包请求数据,请求数据放在协议中。另外get支持快取、缓存、可保留书签等。幂等 2.POST 和get一样很常见,向服务器提交资源让服务器处理,比如提交表单、上传文件等,可能导致建立新的资源或者对原有资源的修改。提交的资源放在请求体中。不支持快取。非幂等 3.HEAD 本质和get一样,但是响应中没有呈现数据,而是http信息,主...
CTF-Web小白入门篇超详细——了解CTF-Web基本型及其解方法 总结——包的详细
热门推荐
日熙的博客
09-29 15万+
上次经过一次比赛的打击,决定不能只是一直盲目的刷基础,应该加快进度,从各种基本型开始下手,每种型都应该去找目刷一刷,并做好总结,于是乎决定写下这篇文章。之后会边做边更新,欢迎各位大佬指教。 本文目录基础知识类总结:具体型包括:HTTP相关的目Git源码泄露Python爬虫信息处理PHP代码审计(重要!!!)XSS目绕过wafSQL注入 基础知识类总结: 1.是最基本...
juice-shop-ctf:OWASP Juice Shop的标志捕获(CTF)环境设置工具
04-30
OWASP果汁商店CTF扩展 Node包可以帮助您准备针对不同流行CTF框架的挑战的事件。 此交互式实用程序使您可以在几分钟内填充CTF游戏服务器。 支持的CTF框架 juice-shop-ctf-cli支持以下开源CTF框架: 特遣部队 ...
CTF-MISC关于各类编码习(湖工商扛把子)
03-17
在网络安全领域,尤其是Capture The Flag (CTF)竞赛中,Miscellaneous(杂项)部分常常涉及到各种编码问。这类目通常测试参赛者对不同编码格式的理解和应用能力,包括但不限于ASCII、Unicode、Base64、Hex、URL...
CTF-100.-天天练习-学习
11-01
CTF-100.-----------------天天练习------------------学习 100小,试例练习
ctf杂项:easy-nbt
08-23
ctf杂项:easy-nbt
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-HTTP(持续更新)
m0_74317362的博客
07-27 1540
HTTP请求
CTF IP伪造http请求
qq_50351194的博客
05-19 448
X-Forwarded-For: 127.0.0.1 X-Forwarded: 127.0.0.1 Forwarded-For: 127.0.0.1 Forwarded: 127.0.0.1 X-Requested-With: 127.0.0.1 X-Forwarded-Proto: 127.0.0.1 X-Forwarded-Host: 127.0.0.1 X-remote-IP: 127.0.0.1 X-remote-addr: 127.0.0.1 True-Client-IP: 127.0.0.1 X
CTF HTTP协议
Light_shoot的博客
10-22 770
超文本传输协议(Hypertext Transfer Protocol,HTTP)是一个简单的请求-响应协议,它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。简单来说就是客户端和服务端进行数据传输的一种规则。这里我们只需要了解报文格式,状态信息,请求头即可。
CTF 用于伪造iphttp请求
b1ackc4t的博客
02-22 3094
X-Forwarded-For:127.0.0.1 Client-ip:127.0.0.1 X-Client-IP:127.0.0.1 X-Remote-IP:127.0.0.1 X-Rriginating-IP:127.0.0.1 X-Remote-addr:127.0.0.1 HTTP_CLIENT_IP:127.0.0.1 X-Real-IP:127.0.0.1 X-Originating-IP:127.0.0.1 via:127.0.0.1
ctf post请求
07-28
CTF比赛中,POST请求是一种常见的攻击方式。通过POST请求,攻击者可以向目标服务器发送数据,以获取敏感信息或执行恶意操作。要进行POST请求,可以使用Python的requests库。下面是一个示例代码,展示了如何使用requests库发送POST请求: ``` import requests url = 'https://example.com/login' # 替换为目标网站的URL data = {'username': 'admin', 'password': 'password'} # 替换为POST请求的参数 response = requests.post(url, data=data) print(response.text) # 打印服务器返回的响应内容 ``` 在这个示例中,我们使用requests.post()函数发送POST请求。我们传递了目标网站的URL和POST请求的参数。在这个例子中,我们假设目标网站的登录页面的URL是'https://example.com/login',并且需要提供用户名和密码作为POST请求的参数。你可以根据实际情况修改URL和参数。 请注意,发送POST请求时,你可能还需要设置其他的请求头信息,比如User-Agent等。你可以使用requests库的headers参数来设置请求头。具体的设置方法可以参考引用\[1\]和引用\[2\]中的示例代码。 希望这个回答能够帮助你理解如何进行CTF中的POST请求。如果你有任何其他问,请随时提问。 #### 引用[.reference_title] - *1* *2* *3* [详解 CTF Web 中的快速反弹 POST 请求](https://blog.csdn.net/qq_26090065/article/details/81583009)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值