0x00 前言
1. 首先使用BurpSuite 抓取一个http文件进行分析
2. 左边为请求信息,右边为响应信息;请求信息有三部分组成,分别为请求行、请求头、和请求正文组成。响应信息也有三部分组成,分别为响应行、响应 头、响应正文。
3. 首先可以看一下请求行
GET /index.php?tn=monline_3_dg HTTP/1.1
GET 方法。 GET 方法用于获取请求页面的指定信息,我们平时浏览网页大部分用的都是GET的方法。如果我们请求的页面为动态脚本页面,则返回的结果是 容器解析过的HTML源代码
4. 使用post方法
POST方法也与GET 方法类似,但是最大的区别在于。GET方法没有请求内容,但是post方法是有请求内容的。POST的请求可以向服务器发送大 量的信息。eg:文件上传。虽然GET方法也可以传送数据,但是有长度的限制,而且get请求会将发送的数据明文显示出来。而post不会,所以安全性相对高一 点。
0x01 GET
在CTF比赛 web题型中也常有 get和post的题目,在get传参的时候,要构造URL。 进入靶场题库练习
根据get传参需要构造URL,以及查看本题的意思,构造url:
找到flag(靶场设置原因,所以flag出现的方式有点奇怪,但是不妨碍找到了flag。)
0x02 POST
在post传参的时候,也同样看一下代码要求
不难发现也只需要构建出 b=goooooood 即可得出flag,但是此刻需要使用火狐浏览器的hackbar Quantum
找到flag 提交 OK。