ctfhub web 前置技能-HTTP协议cookie

最新推荐文章于 2023-11-28 16:03:36 发布
最新推荐文章于 2023-11-28 16:03:36 发布
阅读量1.2k 收藏 5
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzwwhhpp/article/details/109189951
版权
本文介绍了CTF挑战中关于HTTP协议和Cookie的知识。内容涉及Cookie的用途,解释了HTTP请求的无状态特性及Cookie如何解决这一问题。同时阐述了Session的概念,比较了Cookie与Session在安全性与资源占用上的差异。最后,通过实例展示了如何在Burp Suite中篡改Cookie值以实现身份伪造并成功获取flag。
摘要由CSDN通过智能技术生成

打开靶机环境
在这里插入图片描述 查看显示内容
在这里插入图片描述根据提示,需要admin登录才能得到flag

题目介绍为Cookie欺骗、认证、伪造
介绍一下cookie和session

一、cookie:

在网站中,http请求是无状态的。也就是说即使第一次和服务器连接后并且登录成功后,第二次请求服务器依然不能知道当前请求是哪个用户。cookie的出现就是为了解决这个问题,第一次登录后服务器返回一些数据(cookie)给浏览器,然后浏览器保存在本地,当该用户发送第二次请求的时候,就会自动的把上次请求存储的cookie数据自动的携带给服务器,服务器通过浏览器携带的数据就能判断当前用户是哪个了。cookie存储的数据量有限,不同的浏览器有不同的存储大小,但一般不超过4KB。因此使用cookie只能存储一些小量的数据。

二、session:

session和cookie的作用有点类似,都是为了存储用户相关的信息。不同的是,cookie是存储在本地浏览器,而session存储在服务器。存储在服务器的数据会更加的安全,不容易被窃取。但存储在服务器也有一定的弊端,就是会占用服务器的资源,但现在服务器已经发展至今,一些session信息还是绰绰有余的。

三、cookie和session结合使用:

web开发发展至今&

最低0.47元/天 解锁文章
0x00dream
关注
专栏目录
ctfhub-HTTP协议-Cookie
m0_62094846的博客
11-06 686
这是道cookie题,又说要admin才能得到flag,应该是要伪造cookie,抓包 一开始我以为admin后面要写用户名或者密码啥的,然后就爆破,一直爆不出来 ,然后把0改成1,就可以出来flag 我在网上查时,cookie的一行应该为一条数据。也就是说这条数据的“名字”叫做admin,其值为0,改成就可以出来,但我用2,又不行了。 Cookie组成: Cookie是一段不超过4KB的小型文本数据,由一个名称(Name)、一个值(Value)和其它几个用于控制Cook...
CTF部分基础知识二之PHP(十九)】
最新发布
lianafany的博客
08-20 848
Cookie是一种在远程浏览器端存储数据并以此来跟踪和识别用户的机制。
CTFHUB刷题 HTTP协议/Cookie
null1024的博客
08-20 281
一、题目
CTFHUBHTTP协议-cookie
keaidxxn的博客
04-19 445
点击cookie: 点击开启题目后,再在显示的页面里点击相关链接: 点击链接之后显示出以下网页信息: 因为这里提示只有admin可以拿到flag,并且这道题的名字为cookie,于是F12,查看相关信息: 在cookie里找到一个admin,发现它 的value值为0,于是把0改为1,并且刷新一下页面: 成功拿到flag了!!! ...
CTFHub-技能树-HTTP协议-Cookie
pakho_C的博客
02-20 507
打开靶场 提示只有admin可以获得flag 抓包发现有cookie信息,admin=0,一般没有id为0的用户,发送至repeater模块进行修改,将0改为1得到flag
CTFHUB-WEB前置技能-HTTP协议-Cookie
K_ShenH的博客
06-09 875
CTFHUB-WEB前置技能-HTTP协议-Cookie
CTFHUB-HTTP-Cookie
qq_53755216的博客
01-22 574
文章目录一、题目二、解题思路1.管他的先抓下包2.发现cookie中admin=0 ,于是我乱改改为1,结果就对了!!!出乎我自己的预料!!!总结 一、题目 hello guest. only admin can get flag. 二、解题思路 1.管他的先抓下包 2.发现cookie中admin=0 ,于是我乱改改为1,结果就对了!!!出乎我自己的预料!!! 总结 神奇!Amazing! ...
CTFHUB技能树--web前置--HTTP协议(入门级详细wp)
weixin_58391382的博客
10-23 534
本文仅记录本人自己写ctfhub技能树的过程,仅供参考,如有错误还请大佬在评论区指正 目录 请求方式 302跳转 Cookie 基础认证 请求方式 先看下题目要求 翻译一下: HTTP方法是GET 使用CTF**B方法,我会给你标志。 提示:如果您得到“HTTP方法不允许”错误,您应该请求index.php。 直接根据提示brup抓包更改头部即可 302跳转 打开后界面 翻译一下: 这里 没有flag 给我flag ...
Ctfhub Web-web前置技能-http协议
菜鸟的博客
05-27 456
01题目:请求方式 打开网站 发现题目给了提示,说使用CTFHUB请求方式即可获取到flag 然后burp抓包,修改 falg: ctfhub{8ef53030a428ad4ac9bb0a55} —————————————————————— 02题目:302跳转 打开网站 按F12,然后点击Give me fiag,发现点击这个链接有index.php文件闪过,而且状态码是302 解法1: 打开burp抓包把包放到Repeater,将index.html修改为index.php,点击go,即可看到f
ctfhub技能树_web_web前置技能_HTTP
YanLucyqi的博客
11-28 1989
POST请求可能会导致新的资源的建立和/或已有资源的修改。重定向的返回码3XX说明。(7)点击Repeater,修改target(其中Host为网址的ip地址,Port为网址的端口号),并将内容粘贴进Request的Raw去。(7)点击Repeater,修改target(其中Host为网址的ip地址,Port为网址的端口号),并将内容粘贴进Request的Raw去。(7)点击Repeater,修改target(其中Host为网址的ip地址,Port为网址的端口号),并将内容粘贴进Request的Raw去。
CTFHUB-WEB前置技能-HTTP协议-基础认证
weixin_43486981的博客
08-09 2205
HTTP基础认证学习地址:https://zh.wikipedia.org/wiki/HTTP%E5%9F%BA%E6%9C%AC%E8%AE%A4%E8%AF%81 题目 靶机环境: 题目附件下载下来是个字典 点击Click,需要输入用户名和密码 尝试输入admin,admin,没有反应。 使用burp suite抓包 。 在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。在进
CTFCTFHub------web-HTTP协议-Cookie
从零开始的网安生活
07-22 241
cookie 1.链接复制到搜狐,捕获,发送到Repeater 2.根据网页提示找到admin ①尝试修改0为1(yes/no 等)②单击go ③获得flag
CTFHub技能web(持续更新)--web前置技能HTTP协议)--请求方式
jiuyongpinyin的博客
07-26 394
请求方式 进入界面,查看源码,没啥有用的,题目告诉我们现在的请求方式是GET,使用CTF**B的方式,会有flag,首先给大家普及一下,HTTP的请求方式有哪些: 1.GET 2.POST 3.PUT 4.HEAD 5.OPTIONS 6.DELETE 7.TRACE 8.CONNECT 一共八种请求方式,然后按照题目要求,猜测他让我们提交的请求方式是CTFHUB,抓包进行尝试: 得到flag 注:萌新第一次写write up,不足之处还请见谅,不对之处欢迎批评指正。 ...
CTF基础知识——HTTP/1.1 请求方法
fatmoForE
01-28 5344
HTTP请求的方法: HTTP/1.1协议中共定义了八种方法(有时也叫“动作”),来表明Request-URL指定的资源不同的操作方式 HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法。 HTTP1.1新增了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法 1、OPTIONS 返回服务器针对特定资源所支持的HTTP请求方法,也可以利用向web服务器发送‘*’的请求来测试服务器的功能性 2、HEAD 向服务器索与GET请求相一致的响应,只.
CTFHubweb1_HTTP协议请求方式 writeup
Mitchell_Donovan的博客
03-01 375
web1_HTTP协议请求方式 原题链接 key:curl命令获得网页信息 ①原题的提示是这样的???? 看来这题是围绕HTTP方法出的,打开环境???? ②得到了提示,应该是用CTFHUB方法向网页发送GET方式请求,但并没有具体规定要发送什么和怎么做(甩锅) 我经历了一顿GET传参,flag就是不出 上网查了一下,我们需要打开cmd命令输入这一行payload???? curl -v -X CTFHUB http://URL ///URL就是你所打开的环境的地址///
CTFHUB技能树(WEB)详解
weixin_52385170的博客
01-13 4801
CTFHUB 技能WEB 详解
ctfhub web 前置技能(请求方式、302跳转、Cookie
weixin_52268949的博客
02-03 444
第一题:请求方式 打开环境分析题目发现当前请求方式为GET 查看源码发现需要将请求方式改为CTFHUB就可以 使用bp抓包 发送到repeater模块修改请求方式 即可得到flag 第二题:302跳转 打开环境发现flag不在这儿然后点击give me flag 返回当前页面 查看代码发现flag在index.php里而当前却在index.html里 并且url不可以直接更改 所以用linux curl命令访问该页面 即可得到flag 第三题:Cookie 打开环境得知只有管理员能得到fla
HTTP & cookie
CTF的博客
06-10 265
HTTP协议 HTTP协议是一种无状态协议,在数据交换完毕后,服务器端和客户端的链接就会关闭,每次交换数据都需要建立新的链接。 举个栗子: 你某天打开浏览器,正在浏览某部小说,刚看到一半,这时突然有事,必须要离开,而你只能关闭浏览器,当你回来重新打开浏览器访问时,只能从头开始再翻一遍(无状态)。 cookie的作用: 记录上次的会话信息,便于下次访问。 在浏览器中,经常涉及到数据的交换,比如登录一个页面。我们经常会在此时设置 7 天免登录,或自动登录选项。那么它们是怎么记录信息的呢,没错,就是 cookie
ctfhub web技能树302跳转
07-28
CTFHubWeb技能树中,302跳转是一种常见的技术。根据引用\[1\],302跳转继承了HTTP 1.0中302的实现,即无论原请求是GET还是POST,都可以自动进行重定向。而根据引用\[2\],在使用curl命令进行下载时,可以通过参数-C -实现断点续传,即在下载过程中按Ctrl + C停止下载,下次可以接着上次的进度继续下载。这样可以节省时间,避免重复下载已经下载过的部分。 在某些情况下,302跳转可能会受到黑名单的限制。根据引用\[3\],黑名单可能限制了特定的网段,如127、172、10、192网段。然而,可以通过使用localhost的方式绕过这些限制。例如,将http://127.0.0.1/flag.php转换为短网址,并构造Payload发送请求,利用302跳转可以获取到flag。 总结来说,302跳转是一种常见的Web技术,可以用于重定向请求。在CTFHubWeb技能树中,了解如何使用302跳转以及如何绕过黑名单限制是很重要的。 #### 引用[.reference_title] - *1* *2* [2.CTFhub技能web前置技能 http协议 302跳转](https://blog.csdn.net/FFFFFFMVPhat/article/details/121342556)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFHub技能Web-SSRF 302跳转 Bypass](https://blog.csdn.net/weixin_44037296/article/details/118482943)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值