CTFHub的web技能学习

最新推荐文章于 2024-07-07 08:30:00 发布
最新推荐文章于 2024-07-07 08:30:00 发布
阅读量340 收藏
点赞数
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeyuan_/article/details/127596597
版权

1.web前置技能之HTTP协议

  • URL的基本认识:

Internet上的每一个网页都具有一个唯一的名称标识,通常称之为URL(Uniform Resource Locator, 统一资源定位器)。它是www的统一资源定位标志,简单地说URL就是web地址,俗称“网址”。

  • HTTP协议中定义的八种方法(也叫动作)以不同的方式操作指定的资源。

1、GET:获取资源——请求指定的页面信息,并返回实体主体
        GET方法用来请求访问已被URI识别的资源。指定的资源经服务器端解析后返回响应内容。也就是说,如果请求的资源是文本,那就保持原样返回;如果是像CGI (Common Gateway Interface,通用网关接口)那样的程序,则返回经过执行后的输出结果。

2、POST:传输实体主体——向指定资源提交数据进行处理请求(例如提交表单或者上传文件),数据被包含在请求体中,POST请求可能会导致新的资源的建立和/或已有资源的修改。
        虽然用GET方法也可以传输实体的主体,但一般不用GET方法进行传输,而是用POST方法。虽说POST的功能与GET很相似,但POST的主要目的并不是获取响应的主体内容。

3、PUT:传输文件——向指定资源位置上传其最新内容
       PUT方法用来传输文件。就像FTP协议的文件上传一样,要求在请求报文的主体中包含文件内容,然后保存到请求URI指定的位置

4、HEAD:获得报文首部
        HEAD方法和GET方法一样,只是不返回报文主体部分。用于确认URI的有效性及资源更新的日期时间等。

5、DELETE:删除文件
        DELETE方法用来删除文件,是与PUT相反的方法。DELETE 方法按请求URI删除指定的资源。

6、OPTIONS:询问支持的方法——允许客户端查看服务器的性能
        OPTIONS方法用来查询针对请求URI指定的资源支持的方法。

7、TRACE:追踪路径——主要用于测试或诊断
        TRACE方法是让 Web 服务器端将之前的请求通信环回给客户端的方法。(但易引发XST攻击,不常用)

8、CONNECT:要求用隧道协议连接代理
        CONNECT方法要求在与代理服务器通信时建立隧道,实现用隧道协议进行TCP通信。主要使用SSL (Secure Sockets Layer,安全套接层)和TLS ( Transport Layer Security,传输层安全)协议把通信内容加密后经网络隧道传输。
 

  • Windows的curl命令:

    -v参数:来显示通信过程,可以显示一次http通信的整个过程,包括端口连接和http request头信息。

    -X参数: 这个参数可以配置HTTP的方法,后面接上请求方法。

 -d, --data <data>   HTTP POST data
 -f, --fail          Fail silently (no output at all) on HTTP errors
 -h, --help <category>  Get help for commands
 -i, --include       Include protocol response headers in the output
 -o, --output <file>  Write to file instead of stdout
 -O, --remote-name   Write output to a file named as the remote file
 -s, --silent        Silent mode
 -T, --upload-file <file>  Transfer local FILE to destination
 -u, --user <user:password>  Server user and password
 -A, --user-agent <name>  Send User-Agent <name> to server
 -v, --verbose       Make the operation more talkative
 -V, --version       Show version number and quit

题目1:

 解决方法:

要求将GET改为CTFHUB,使用curl命令,在命令提示符(cmd)中输入:

curl -v -X CTFHUB  “上述题目的URL”

即可得到 flag。

题目2:

解决方法:

因为通过查询该页面的源代码可知flag在index.php页面下

使用curl命令, 在命令提示符(cmd)中输入:

curl -i  “上述题目的URL”   (备注:记得将"/index.html"改为"/index.php")

 

 

题目3

 

 解决方法:

按F12,打开开发者工具,查看”网络“的“Cookie”,发现其admin为0,在”存储“中的Cookie里,将admin修改为1,再按F5,刷新页面,即可得到flag。

 

 

 

 

夜渊@
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
常见请求方法
m0_54581080的博客
05-19 728
请求方法是请求行中的第一个单词,它向服务器描述了客户端发出请求的动作类型。在 HTTP 协议中,不同的请求方法只是包含了不同的语义,但服务器和浏览器的一些约定俗成的行为造成了它们具体的区别 fetch('https://www.baidu.com', { method: 'heiheihei', // }); 上面的请求中,我们使用了自定义方法heiheihei。虽然百度服务器无法理解这样的请求是在干什么,但这样的请求也是可以正常发送到百度服务器的。 在实践中,客户端和服务器慢慢的形成了一个共
ctfhub技能树_web_信息泄露
YanLucyqi的博客
11-28 1408
(5)输入su root切入root用户,然后再输入perl -MCPAN -e shell,在shell中输入yes、install DBD::SQLite和exit,再输入./rip-svn.pl -v -u http://challenge-cc015ed48792bae4.sandbox.ctfhub.com:10800/.svn/恢复原先版本。(2)打开https://gitcode.net/mirrors/BugScanTeam/GitHack?
五:HTTP请求方法
qq_38022739的博客
08-30 287
GET:获取资源 GET方法用来请求访问已被URI识别的资源。指定的资源经服务器端解析后返回响应内容。 POST:传输实体主体 POST方法用来传输实体的主体。 PUT:传输文件 PUT方法用来传输文件。就像FTP协议的文件上传一样,要求在请求报文的主体中包含文件内容,然后保存到请求URI指定的位置。 HEAD:获得报文首部 HEAD方法和GET方法一样,只是不返回报文主体部分。...
CTFHUB-彩蛋教程
最新发布
weixin_68416970的博客
07-07 722
CTFHUB技能树、彩蛋的通关教程
HTTP 请求方法
qq_21976063的博客
12-18 466
方法 描述 支持的http版本 GET 请求指定的页面信息,并返回实体主体。 1.0 / 1.1 POST 向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。 POST 请求可能会导致新的资源的建立和/或已有资源的修改。 1.0 / 1.1 HEAD 类似于 GET 请求,只不过返回的响应中没有具体的内容,用于获取报头。 1.0 / 1.1 ...
HTTP请求方式中8种请求方法(简单介绍)
weixin_43968372的博客
04-20 301
https://www.cnblogs.com/weibanggang/p/9454581.html
请求方式都有哪些
风情
04-03 694
请求方式主要包括以下几种:除了上述常见的请求方式外,还有以下几种:
ctfhub web全部做题记录(持续跟新)
01-08
CTF(Capture The Flag)】CTF是一种网络安全竞赛,其中参赛者通过解决各种安全问题来获取“旗标”(代表分数),这些问题通常涉及逆向工程、密码学、Web安全、取证分析等多个领域。 【Web安全】Web安全是网络...
CTFHub技能
weixin_59480274的博客
04-23 5316
文章目录一、CTF基础知识1、CTF简介2、竞赛二、使用步骤1.引入库2.读入数据总结 一、CTF基础知识 1、CTF简介 开启题目 2、竞赛 开启题目 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warnings.filterwarnings('ignore') import ss
CTFHUB学习题解Web(1)- 前置技能(持续更新整理)
独沐晨霖
07-21 2181
注: 1. 因为是个入门题网站,若题目仅涉及简单的基础知识,就不截图了,仅简要说明过程 2. 题库尚不完全,没有内容的分支先直接跳过,等题库更新再做添加 3. 大标题为版块名,小标题为含有题目的上级菜单名,无序黑体为题目名 Web HTTP协议 请求方式 众所周知,HTTP的请求方法是可以自定义的,用burp抓个包改一下请求方式为题目要求的CTFHUB就可以了 302重定向 打开网页用F12发现请求会被302重定向回index.html,用burp拦截并send to repeater即可得到fla
CTFHUB学习题解Web(3)- 密码口令与XSS
独沐晨霖
07-23 1575
注: 1.是个正在学习的新手,连脚本小子都不够格 2. 很多题目都很基础,但是都做了详细截图 3. 题库尚不完全,没有内容的分支先直接跳过,等题库更新再做添加 4. 大标题为版块名,小标题为题目名 5. 个人学习记录和复习使用,如有错误欢迎指正 文章目录密码口令弱口令默认口令XSS反射型 密码口令 弱口令 并不知道用户名和密码,用burp抓包 对用户名和密码进行cluster bomb模式爆破 爆破成功得到flag 默认口令 既然是默认口令就要查找这个“eYou邮件网关”的默认用户名和密码 登
CTFHub Web Web前置技能+信息泄露
m0_51150495的博客
06-30 1000
目录一、Web前置技能1.HTTP协议请求方式 302跳转 Cookie 基础认证 响应包源代码 二、信息泄露1.目录遍历 2.PHPINFO 3.备份文件下载网站源码 bak文件 vim缓存 .DS_Store 4.Git泄露Log Stash Index5.SVN泄露 6.HG泄露在开启题目后看到出现的链接,提示我们现在所使用的HTTP请求方式为GET方式,需要将请求方式修改为CYF**B来获取flag 我们刷新这个提示页面进行抓包,得到请求方式确实为GET 将数据包发送到Repeater,将GET修改
HTTP的几种请求方法和用途
weixin_46383743的博客
06-26 1817
POST向服务器发送数据,会改变数据的种类等资源,就像insert操作一样,会创建新的内容,大小一般没有限制,POST安全性高,POST不会被缓存。这个方法这post很像,也时通过服务器提交数据,但他们不同的是put是指定了资源在服务器上的位置,而post没有。它用于获取当前url所支持的方法,如果请求成功会有一个allow的头,包含类似“get”,“post”这样的信息。202(Accepted)——删除请求已经接受,但没有被立即执行(资源也许已经被转移到了待删除区域)。请求服务器删除指定的页面。...
CTFHUB--WEB--Web前置技能
yanfangjie的博客
01-05 253
WEB -HTTP协议 1.知识补充 (1)http 1.1 http协议请求由三部分组成,分别是:请求行、消息报头、请求正文。 请求行以一个方法符号开头,以空格分开,后面跟着请求的URI和协议的版本。 【Method】 【Request-URI】 【HTTP-Version】 【CRLF】 下面是一个实际的HTTP响应报文: HTTP的响应状态码由5段组成: 1xx 消息,一般是告诉客户端,请求已经收到了,正在处理,别急… 2xx 处理成功,一般表示:请求收悉、我明白你要的、请求已受理、已经处理完成等信
常见的请求方式
平人的博客
11-28 1670
GET是显式提交,传输的内容会出现在地址栏中。 POST是隐式提交。 在登录页面中,输入的密码不能让它出现在地址栏中,所以应该选择POST。
请求方式8种
egbertasd的博客
06-11 1105
HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法。 HTTP1.1新增了五种请求方法: OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。 1 GET 请求指定的页面信息,并返回实体主体。 2 HEAD 类似于get请求,只不过返回的响应中没有具体的内容,用于获取报头 3 POST 向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。...
CTFHUB-WEB
weixin_46402806的博客
03-08 671
CTFHUB-WEB
ctfhub web技能树302跳转
07-28
CTFHubWeb技能树中,302跳转是一种常见的技术。根据引用\[1\],302跳转继承了HTTP 1.0中302的实现,即无论原请求是GET还是POST,都可以自动进行重定向。而根据引用\[2\],在使用curl命令进行下载时,可以通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值