web:了解http基本协议--极客大挑战【网络攻防CTF】(保姆级图文)

最新推荐文章于 2024-08-10 20:41:43 发布
最新推荐文章于 2024-08-10 20:41:43 发布
阅读量4.3k 收藏 2
点赞数
分类专栏: 网络工程专业 # 网络攻防ctf 文章标签: ctf 网络攻防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011027547/article/details/124344381
版权

目录

欢迎关注 『网络攻防CTF』 系列,持续更新中
欢迎关注 『网络攻防CTF』 系列,持续更新中

1. HTTP协议基础知识(转自森屿快讯)

使用HTTP协议访问Web
你知道当我们在网页浏览器(Web browser)的地址栏输入URL时,Web 页面是如何呈现的吗?
在这里插入图片描述

网页当然不是凭空出来的。是根据在地址栏中输入的URL,Web浏览器从指定服务端获取资源(resource)等信息,从而将页面展示出来。

像这种通过向服务端发送请求获取资源(resource)的Web浏览器都可以称为客户端(client)
在这里插入图片描述
Web使用的是一种名为HTTP(HyperText Transfer Protocol,超文本传输协议)的协议作为规范,完成从客户端到服务端的一系列流程。而协议是指规则的约定。可以说,Web 是建立在 HTTP 协议上通信的。

2. 实战题目练手

1.检查源码审题

在这里插入图片描述
Referrer Policy: strict-origin-when-cross-origin的作用,这里有两个约束:

  • 严格模式(也就是不会出现https的网站协议降级调http的链接)
  • 跨域
    符合这两种情况的,发送Referrer(协议+域名+端口),其它情况包括https的网站调http的链接这种协议降级的情况,等等,还有很多情况,这些情况都发送完整的Referrer。

在网站的源代码中,有了发现网站存在Secret.php文件,并且在网页中无正常链接,如下图所示:
在这里插入图片描述

于是,尝试访问该页面,提示请求源不是It doesn't come from 'https://www.Sycsecret.com',如下图所示:
在这里插入图片描述
说明思路对,继续。题目是关于http的,http的考点大多都是在消息头上,根据网页提示,需要修改页面的来源
也就是修改消息头的Referer参数关于referer参数,正常页面输入url进入其他网页是不用配置referer参数的,但是在通过超链接进入其他网页的时候,客户端的请求会配置上referer参数,也就是超链接所在的url。
通过burpsuit修改参数,打开代理后,发送到repeater,在repeater里添加referer参数

也就是得出结论,考点是修改请求头

这里我使用simple-modify-headers 修改浏览器请求头,大家可以用自己喜欢用的。
在这里插入图片描述

得到flag

总结

大家喜欢的话,给个👍,点个关注!继续跟大家分享敲代码过程中遇到的问题!

版权声明:

发现你走远了@mzh原创作品,转载必须标注原文链接

Copyright 2022 mzh

Crated:2022-3-6

欢迎关注 『网络攻防CTF』 系列,持续更新中
欢迎关注 『网络攻防CTF』 系列,持续更新中
【网络攻防CTF】草稿(保姆级图文)
【更多内容敬请期待】

发现你走远了
关注
专栏目录
【愚公系列】2024年03月 《CTF实战:从入门到提升》 003-Web安全基础知识(HTTP安全)
时光隧道
02-26 5万+
HTTP安全是指在使用HTTP协议进行通信时,采取的一系列措施和技术,以确保传输过程中的数据的机密性、完整性和可信性。HTTP协议本身是一种明文的协议,数据在传输过程中容易被窃听、篡改或伪造。措施描述HTTPS在HTTP协议基础上增加了SSL/TLS加密层,通过对通信内容进行加密以保护数据的机密性。加密使用对称加密或非对称加密算法对敏感数据如用户登录信息或支付信息进行加密,防止数据被窃听。认证通过身份验证技术验证通信双方的身份,确保通信的可信性。
BUUCTF-Web:[极客挑战 2019]Upload
m0_56161093的博客
05-29 903
题目 解题过程 1、上传文件 从网页上来看是上传一个图片文件,但我们不知道他的检查上传的文件,所以可以试一试上传各种文件。一般检查文件的地方有:后缀名、content-type、文件头的部分内容。 这里我们先上传一个php文件,不做任何修改。如下图: 结果如下: 2、修改文件后缀名和content-type 将文件名修改为test.phtml,绕过常规php文件后缀检测 将文件类型修改为:image/jpeg 注意:phtml一般是指嵌入了php代码的html文件,但是同样也会作为php解析 修
CTF网络安全攻防介绍
12-19
主要介绍网络安全攻防的安全知识,以及需要的编码和所需要的
CTF_Web_HTTP协议
weixin_30433075的博客
11-18 739
HTTP简介 HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议HTTP是一个基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件, 查询结果等)。 HTTP是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信...
网络攻防WEB入门指南
最新发布
shandongjiushen的博客
08-10 609
前言我对网络攻防的理解,分为比赛和实战两个部分,两者所学习的知识虽有共通之处,但还是有很大区别,我也在向实战的状态转换,不过二者入门所要掌握的知识差别不大。下面主要从网络攻防竞赛角度,也就是知名的CTF夺旗赛,来谈谈网络攻防知识如何入门。学习网络攻防该如何入门常规CTF比赛主要分为线上做题,以及线下AWD攻防(Attack With Defence),其中初赛往往为做题形式,决赛为AWD混战。
网络攻防路-概述 ctf
大紫明宫空离境
12-11 223
计算机领域两大知名赛事ACM&CTF CTF关于网络安全的比赛,起源于黑客比赛,2014年CTF比赛在国内迅速走红,2015年国家硬是把“网络空间安全”划进了一学科目录。 由于种种原因,目前能够免费使用的CTF训练网络平台,免费注册即可使用: 国内网站 https://adworld.xctf.org.cn/ https://www.ichunqiu.com/competit...
网络攻防CTF有什么区别和关系?
恒创科技Henghost
01-17 580
网络攻防更注重实战应用,攻击和防御双方需要在真实的网络环境中展开对抗,CTF则更注重竞赛性质,参赛队伍需要在限定的时间内解决一系列安全问题并提交答案。在网络攻防中,攻击和防御的技术手段不断演变和升,需要双方不断更新自己的知识和技能。2、网络攻防CTF的目标都是保障网络安全。在CTF竞赛中,参赛队伍的目标是发现和解决模拟网络环境中的安全问题,提高自身的安全防护能力。攻击和防御都需要深入了解网络协议、系统漏洞、恶意软件等方面的知识,CTF则需要熟练掌握各种网络安全工具和技术,具备快速解决问题的能力。
ctf网络安全攻防练习题
12-04
ctf网络安全攻防练习题 从N=NP能得到的结论当然是N=1或者P=0,然后结合图片内容,猜测此题跟二进制01有关,信息应该藏在像素中等等
Web-CTF-挑战:收集代码古怪的行为以及我围绕它们提出的CTF挑战
02-05
"Web-CTF-挑战:收集代码古怪的行为以及我围绕它们提出的CTF挑战"是一个专注于Web开发和安全的系列挑战,通过分析和解决古怪的代码问题来锻炼参与者的技能。这个挑战集主要涉及Node.js、Express.js和HandleBars这三...
CTF Web解题大解密:如何找到神秘的Flag,成为夺旗赛的MVP
12-29
在网络安全的领域里,CTF(Capture The Flag)竞赛已经成为了一种检验技能和提升知识的重要方式,特别是Web解题部分,它将理论与实践紧密结合,让参赛者在寻找隐藏的Flag中体验到黑客攻防的乐趣。为了在CTF Web解题...
CTF-网络挑战
03-02
本项目只是对历届CTF开源的网站 申明 由于本人重新向出题人申请重新对过渡进行修改发布的权利,但对每个题均标明了出处,如涉嫌犯罪,立马致歉删除。 对于部分没找到flag的翻译,会自己随便添加 对已提供Dockerfile...
HTTP协议题目4 CTFHUB(全网最细教程)
qq_62121970的博客
07-15 315
题解
[极客挑战 2019]Http
weixin_41571993的博客
10-04 871
靶场练习
20220129--CTF刷题--- WEB方向--简单题--含常见的 HTTP请求头知识点总结
qq_51550750的博客
01-29 5189
20220129–CTF刷题— WEB方向–简单题–常见的 HTTP请求头–含总结 刷题网站:攻防世界 https://adworld.xctf.org.cn/ 关于更多的刷题平台汇总:这是我自己的汇总(也包含自己可以在本地搭建的 网站) https://blog.csdn.net/qq_51550750/article/details/122748075 于是开启代理,开始burp抓包: 添加上X-Forwarded-For的头: 得到相应: 根据提示再加上referer的头: 最终得到flag
CTF-HTTP协议
treeywind的博客
04-29 572
对于CTFHTTP协议题目的基本解法的笔记
CTFHub--http协议
unexpectedthing的博客
08-02 403
http协议wpHTTP协议请求方法302跳转:cookie欺骗 HTTP协议请求方法 根据提示是改变请求方法 然后抓包改变请求方法,得到flag。 知识点:http协议的请求方法: 常用的就是get和post方法,两者的区别。 参考链接: https://blog.csdn.net/yangyechi/article/details/82284553?ops_request_misc=&request_id=&biz_id=102&utm_term=http%E5%8D%8
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

发现你走远了

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值