一.Request请求数据包数据格式:
1.请求行:包括请求类型/请求资源路径.协议版本和类型;
例:
2.请求头:一些键值对,浏览器与web服务器之间都可以发送,特定某种含义;yi
3.空行:请求头与请求体之间用空行隔开;
4.请求体:要发送的数据(一般post提交会使用);例如:user=123&pass=123
例:
我们打开网页随便搜索内容:
抓包数据:
POST /zb_system/cmd.php?act=search HTTP/1.1
Host: xiaodi8.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:127.0) Gecko/20100101 Firefox/127.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded
Content-Length: 5
Origin: http://www.xiaodi8.com
Connection: close
Referer: http://www.xiaodi8.com/
Cookie: ZDEDebuggerPresent=php,phtml,php3
Upgrade-Insecure-Requests: 1
Priority: u=1
q=111二.Response返回数据包数据格式:
一个响应由四个部分组成: 状态行 响应头标 空行 响应数据(各元素之间空格分隔)
1.状态行:协议版本,数字形式的状态代码,状态描述 各元素之间空格分隔
响应状态码:
例:
我们访问一个网站没有内容或目录:
此时的状态码(404不存在文件或文件夹):
我们访问一个网站存在内容或目录:
就比如网站图片
检查数据包:
响应码为304(均可能存在)
----------------------------------------------------------
2.响应头标: 包含服务器类型 日期 长度 内容类型
3.空行:响应与响应体之间用空行隔开
4.响应数据:浏览器会将实体内容中的数据提起出来,生成响应页面
例:
上实操(墨者靶场):
背景介绍
安全工程师“墨者”在访问一个网页时,提示只能通过另一个页面跳转的方式访问,这该如何办?
实训目标
1、了解浏览器的使用;
2、了解数据包的发送;
3、了解抓包工具的使用,能够进行抓包改包,如burpsuite等;
(掌握:达到能够独立完成使用的程度
了解:达到知晓其作用的程度不要求熟练运用)
解题方向
充分理解题目,referer伪造!
1.开启目标靶场:
2.点击按钮提示: 禁止浏览 当前页面只允许从google.com访问
3.直接抓个包看看:
发现Refrer参数地址为:
此时我们就可以把Refere地址伪造为google.com 从而达到referer伪造,来拿到flag
4.伪造之后:
重放数据包之后 放可以拿到flag:
1571
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
