CTF-HTTP协议

于 2024-04-29 22:57:50 发布
阅读量453 收藏 10
点赞数 27
文章标签: http 网络协议 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/treeywind/article/details/138326972
版权
本文介绍了HTTP请求过程,包括GET和POST方法的区别,以及在CTF中常见的请求头如Host、Referer、User-Agent和Cookie的应用。通过实例分析了如何利用这些头信息解决SWPUCTF2023的HTTP题目,提供了解题思路和工具技巧。
摘要由CSDN通过智能技术生成

文章目录

前言

HTTP协议,其作用将超文本数据从网络传输到本地浏览器,能够保证高效而准确的传输超文本文档

CTF中也存在一类题来考察HTTP协议,这里是对这类题目的基本解法

一、HTTP请求过程

在浏览器地址栏中输入一个URL,即可查看对应的页面内容。这个过程是由浏览器先向服务器发送一个请求,网站接受到请求后进行处理和解析,然后返回对应的响应。浏览器再对响应包进行解析,来呈现一个网页

1.请求

由客户端发向服务器,由四部分内容构成,请求方法,请求网址(URL),请求头,请求体。

请求方法

请求方法,用于标识客户端请求服务端的方式,常见的有:GET和POST

GET:请求的参数包含在URL中可以看见
POST:请求的参数包含在请求体中,比GET请求更加安全

请求头

CTF中HTTP协议题目,主要在于对于请求头的修改与增加,来一步步顺从出题者的意愿来拿取flag

这里介绍几个常用的请求头:

Host: 用于指定请求资源的主机IP和端口号,其内容为请求URL的原始服务器或网关的位置

Referfer: 用于标识请求从哪个页面而来

User-Agent:简称UA头,可以使服务器识别客户端使用的操作系统及版本,浏览器及版本信息等

Content-Type:用来表示请求的信息类型。例如:text/html代表HTML格式,image/gif代表GIF图片,application/json代表JSON信息

Cookie:cookie作用就是一个个人身份证,在登录成功后,浏览器会记录这个cookie,因此后面再访问时就不需要再次登录

伪造请求头实现本地访问的几种方法:

X-Forwarded-For: 127.0.0.1
Client-Ip: 127.0.0.1
host: 127.0.0.1
Referer: 127.0.0.1

二、CTF题目

这里使用这道题来简单讲解一下HTTP协议题目的解法
[SWPUCTF 2023 秋季新生赛]NSS_HTTP_CHEKER
在这里插入图片描述
这里就考察两个请求方法与三个请求头
首先是GET方法传入一个参数,我们可以直接在URL中使用**?this_is_get=get_%1t来输入这个参数
然后POST方法,可以使用bp抓包后,在请求体中加入 this_is_post=p03t 来传入这个参数,我这里使用hackbar这个插件来进行传参
在这里插入图片描述
然后是cookie头的伪造,在hackbar中增加一个header,后加入Cookie: this_is_cookie=cookie_suki_desu~**就可以完成出题人第三个要求
UA头就是用来表示浏览器版本信息的,所以只要将UA头改为NSSCTF
最后的本地访问就只需要使用XFF就可以拿到这个flag

总结

最后这里是我对于CTF中关于HTTP题目的一次总结,来写的这样的一个笔记,希望会对大家有所帮助

TreeGewin
关注
  • 27
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf-dc
03-12
Python可以用来分析设备通信协议、构造攻击payload。 6. **二进制安全**:包括缓冲区溢出、格式字符串漏洞等,Python的ida-pro、pwntools等库可帮助进行二进制分析和漏洞利用。 7. **基础设施安全**:如网络嗅探、...
CTF_Web_HTTP协议
weixin_30433075的博客
11-18 695
HTTP简介 HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议HTTP是一个基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件, 查询结果等)。 HTTP是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信...
CTF HTTP协议
Light_shoot的博客
10-22 505
超文本传输协议(Hypertext Transfer Protocol,HTTP)是一个简单的请求-响应协议,它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。简单来说就是客户端和服务端进行数据传输的一种规则。这里我们只需要了解报文格式,状态信息,请求头即可。
CTFHUB技能树HTTP协议
winofkill的博客
11-21 4815
ctfhub技能树http协议请求方式,302跳转,cookie,基础认证,响应包源代码
CTF中常用的http知识点总结
记录学习,一起进步
01-14 2097
CTF中常用的http知识点总结
CTFHub-Web-HTTP协议
qq_54037445的博客
11-21 1602
CTFHub-Web-Web前置技能-HTTP协议 请求方式、302重定向、cookie、基础认证
一篇文章带你搞定CTFhttp的常见应用
最新发布
csjjjd的博客
12-16 547
这里最终条件要求URL解码一次后会直接变成admin就可以输出flag,而且一开始还要绕过强等于,已经提示的很明显了,一开始就是要传入一个URL形式的字符串来绕过强相等,如果一开始不传URL编码,那后面那个URL解码岂不就是没有用了,(当然你可以私下用在线工具进行url编码,在URL编码中,每个百分号 "%" 后跟上两位十六进制数表示相应的字符,只是你在网页上输入网址经过url时不会自动帮你编码,也就是输入啥经过url后就是啥)这里是url编码在ctf的使用,很经典。
My-CTF-Challenges
05-09
在深入学习这个挑战集之前,你需要熟悉基本的Web开发概念,如HTTP协议、网页结构和JavaScript语法。对于JavaScript,理解如何操作DOM(文档对象模型)、处理事件、以及执行异步请求(AJAX)是必要的。同时,对常见的...
progra-ctf-datacenter
03-13
`scapy`库则可以用来操作和构建网络协议包,进行更高级的网络嗅探和操纵。 2. **数据分析与日志处理**:Python的数据分析库如`pandas`和`numpy`能高效处理大量数据,对日志文件进行分析,找出异常模式或潜在的攻击...
CTF-入门练习题
10-30
2. **Web安全**:了解HTTP协议,学习SQL注入、XSS、CSRF等常见Web漏洞的原理和防范方法。 3. **逆向工程**:掌握反汇编语言,理解程序执行流程,查找和利用软件漏洞。 4. **操作系统安全**:学习权限提升、内核漏洞...
CTF-Challenges
06-29
CTF(Capture The Flag)是一种网络安全竞赛,参赛者通过解决各种技术难题来模拟现实世界的安全问题。...在这个特定的CTF-Challenges项目...同时,熟悉常见的Web服务器配置、日志分析和网络协议也对解决此类问题大有裨益。
CTF-HTTP(持续更新)
m0_74317362的博客
07-27 709
HTTP请求
CTFWEB学习——http请求方式
weixin_61167540的博客
11-21 744
是常用的命令行工具,用来请求 Web 服务器。它的名字就是客户端(client)的 URL 工具的意思。得到flag:ctfhub{c58e45f39e52486f411345e0}从题目中可以看出,需要使用的一种是CTFHUB 的请求方式才能拿到flag。参考各位大佬们的做法是用windows自带的curl——指定HTTP请求方法。这是这个题的解题重点。未指定请求方式默认为GET。
网安萌新必看CTFHUB技能树之HTTP协议(胎教级教程)
qq_64948897的博客
07-10 1029
网安萌新必看,ctf入门题解
#ctf解题姿势#http协议
vircorns的博客
08-12 1267
小结指路 Method GET 参数数据跟在地址栏以后,以?开头,用&分割 明文传输,不适合提交敏感密码 四舍五入 bugku简单题目GET POST Hackbar或者cmd后curl -v URL -X POST -d post=flag 提交参数数据没有限制 bugku简单题目POST XCTF简单题目 HEAD PUT DELETE TRACE CONNECT O...
http请求的几种方法
only_的博客
09-05 1015
1.GET 发送请求来获得服务器上的资源,请求体中不会包含请求数据,请求数据放在协议头中。另外get支持快取、缓存、可保留书签等。幂等 2.POST 和get一样很常见,向服务器提交资源让服务器处理,比如提交表单、上传文件等,可能导致建立新的资源或者对原有资源的修改。提交的资源放在请求体中。不支持快取。非幂等 3.HEAD 本质和get一样,但是响应中没有呈现数据,而是http的头信息,主...
CTF学习第二站——CTF技能树Web前置技能HTTP协议请求方式
qq_41174589的博客
10-02 163
注:在此之前需完成环境配置(安装BurpSuit,Firefox浏览器及Foxy proxy插件)由网页中的内容可知,我们将HTTP Method修改为CTF**B后就可以取得flag。2.刷新网页后得到如下并右键发送到repeater。3.将其中的GET改为CTFHUB,并发送。1.打开网页代理与BurpSuit拦截。4.在右侧的响应中我们可以找到flag。5.复制,提交,注意不要漏掉右花括号。
WebHttp协议相关例题wp
uuzeray的博客
11-08 362
写点博客记录一下ctf学习,一是做题型总结,二是准备新生赛。
文件包含-伪协议filter
08-22
协议filter是一种用于文件包含的伪协议。它不受allow_url_fopen和allow_url_include参数的影响,可以用来读取本地文件系统或访问HTTP、FTP等协议的URL。 在PHP中,可以使用php://filter伪协议来读取文件内容并对其进行处理。例如,使用php://filter/resource=来读取文件内容,php://filter/read=convert.base64-encode/resource=可以将文件内容以base64编码输出。 通过使用filter伪协议,攻击者可以利用文件包含漏洞来读取敏感文件,包括PHP源代码、配置文件等。因此,在编写PHP代码时,务必要注意对用户输入进行严格过滤和验证,避免文件包含漏洞的利用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [文件包含-伪协议](https://blog.csdn.net/Wu000999/article/details/101925271)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [CTF---Web---文件包含---02---rot13伪协议](https://blog.csdn.net/qq_22160557/article/details/119174803)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值