欢迎关注 『网络攻防CTF』 系列,持续更新中
欢迎关注 『网络攻防CTF』 系列,持续更新中
1. HTTP协议基础知识(转自森屿快讯)
使用HTTP协议访问Web
你知道当我们在网页浏览器(Web browser)的地址栏输入URL时,Web 页面是如何呈现的吗?
网页当然不是凭空出来的。是根据在地址栏中输入的URL,Web浏览器从指定服务端获取资源(resource)等信息,从而将页面展示出来。
像这种通过向服务端发送请求获取资源(resource)的Web浏览器都可以称为客户端(client)
Web使用的是一种名为HTTP(HyperText Transfer Protocol,超文本传输协议)的协议作为规范,完成从客户端到服务端的一系列流程。而协议是指规则的约定。可以说,Web 是建立在 HTTP 协议上通信的。
2. 实战题目练手
1.检查源码审题
Referrer Policy: strict-origin-when-cross-origin
的作用,这里有两个约束:
- 严格模式(也就是不会出现https的网站协议降级调http的链接)
- 跨域
符合这两种情况的,发送Referrer(协议+域名+端口),其它情况包括https的网站调http的链接这种协议降级的情况,等等,还有很多情况,这些情况都发送完整的Referrer。
在网站的源代码中,有了发现网站存在Secret.php
文件,并且在网页中无正常链接
,如下图所示:
于是,尝试访问该页面,提示请求源不是It doesn't come from 'https://www.Sycsecret.com'
,如下图所示:
说明思路对,继续。题目是关于http的,http的考点大多都是在消息头上,根据网页提示,需要修改页面的来源
也就是修改消息头的Referer参数关于referer参数,正常页面输入url进入其他网页是不用配置referer参数的,但是在通过超链接进入其他网页的时候,客户端的请求会配置上referer参数,也就是超链接所在的url。
通过burpsuit修改参数,打开代理后,发送到repeater,在repeater里添加referer参数
也就是得出结论,考点是修改请求头
这里我使用simple-modify-headers
修改浏览器请求头,大家可以用自己喜欢用的。
得到flag
总结
大家喜欢的话,给个👍,点个关注!继续跟大家分享敲代码过程中遇到的问题!
版权声明:
发现你走远了@mzh原创作品,转载必须标注原文链接
Copyright 2022 mzh
Crated:2022-3-6
欢迎关注 『网络攻防CTF』 系列,持续更新中
欢迎关注 『网络攻防CTF』 系列,持续更新中
【网络攻防CTF】草稿(保姆级图文)
【更多内容敬请期待】