IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> 【慧河网络安全组】Web基础和http协议培训题解 -> 正文阅读

[网络协议]【慧河网络安全组】Web基础和http协议培训题解

View-source 类:

例题1:view_source

题目链接

在这里插入图片描述
右键点击查看源码(点不动)
ctrl+u 发现flag
在这里插入图片描述

例题2:[BSidesCF 2019]Futurella

题目链接
在这里插入图片描述
我们看到图片中有{}字样,猜测为flag
查看源码试试
在这里插入图片描述

例题3:key究竟在哪里呢?

题目链接
在这里插入图片描述查看源码,没有任何发现
在这里插入图片描述
抓个包试试

在这里插入图片描述
发送到repeater我们send一下,即可发现key
在这里插入图片描述

例题4:头等舱

题目链接
在这里插入图片描述
查看源码,也没有
在这里插入图片描述
抓个包,发送到repeater send一下
在这里插入图片描述
即可发现flag

前端绕过题:

例题1:disabled_button

题目链接
在这里插入图片描述我们发现他给了一个按钮,但是我们按不动它
我们怀疑可能是前端设置了某些格式,F12试试
在这里插入图片描述
我们可以看到按钮这里有一个格式,将disabled删掉,再点击按钮,即可获得flag
在这里插入图片描述

例题2:计算器

题目链接

在这里插入图片描述
输入120试试
在这里插入图片描述
发现只能输入一个数字,F12查看源码
在这里插入图片描述
看到这里最大长度设置为1
我们修改成30试试
在这里插入图片描述

例题3:web3

题目链接
在这里插入图片描述
在这里插入图片描述
会发现一直有弹窗
我们查看网页源码试试(用view-source:网址方式)
在这里插入图片描述
会发现有一行注释,利用搜索引擎得知这是HTML字符实体,我在这里插入图片描述
们用转换工具转换即得

HTTP字段分析

例题1:web基础$_GET

题目链接
在这里插入图片描述
我们用get方式传参 ?what=flag
在这里插入图片描述

例题2:web基础$_POST

在这里插入图片描述用post方式传参
这里可以使用burp也可以使用hackbar
burp:抓包,右键发送到repeater 并右键更换请求模式
在这里插入图片描述
我们可以看到GET变成了POST,然后我们在最后一行(!注意一定要留意行空行!)输入我们要传入的内容 what=flag
send一下,即可得到flag
在这里插入图片描述

在这里插入图片描述

例题3:请求方式

在这里插入图片描述

看到要求使用CTF**B 方法,就会得到flag。
如果得到指示:HTTP Method Not Allowed的话,应该请求index.php。

我们用burpsuite抓包,得到内容如下

在这里插入图片描述

看到请求方式为GET,我们改成CTFHUB,send
在这里插入图片描述成功得到flag

ctfhub{978a2b1142f3ba9323d39d9e}

例题4:key又找不到了

题目链接
打开网页看到这个,点击
在这里插入图片描述
发现如下字段在这里插入图片描述
用burp抓包,发送到repeater

在这里插入图片描述点击那个按钮,并抓包
在这里插入图片描述
发现出现了302 Found
还给出了一个新的地址,那我们进入这个地址

即可得到key在这里插入图片描述

例题5:302跳转

在这里插入图片描述点击Give me Flag没有反应,抓个包试试
在这里插入图片描述

例题6:Cookie

在这里插入图片描述
它说只有管理员才能得到flag,抓个包
在这里插入图片描述
将admin改成1试试
在这里插入图片描述

例题7:HAHA浏览器

在这里插入图片描述

抓个包
在这里插入图片描述
我们把火狐改成HAHA(手动狗头)耶成功
在这里插入图片描述

例题8:种族歧视

在这里插入图片描述抓个包
在这里插入图片描述在这里插入图片描述看到这里only for Foreigner 我们把语言改成en
在这里插入图片描述
欧耶~成功

例题9:本地管理员

在这里插入图片描述
我们随便输入一个用户名和密码试试,发现如上画面
抓个包
在这里插入图片描述
我们看到这里有一串注释,base64解码试试

在这里插入图片描述
我们在用户名和密码处分别输入 admin和test123,并且抓包
在这里插入图片描述
利用X-Forwarded-For(发送报文的真实ip地址)将地址设置为本地地址(127.0.0.1),即可得到flag
在这里插入图片描述

例题10:xff_referer

xff_referer

在这里插入图片描述
设置完之后,发现必须来自这个地址
在这里插入图片描述欧耶,得到flag
在这里插入图片描述

HTTP字段综合题

例题1:[极客大挑战 2019]

在这里插入图片描述
查看源码试试
在这里插入图片描述
发现一个可疑链接,我们进入这个链接试试
在这里插入图片描述
显示它不来自这个网站,那我们抓个包设置一下referer在这里插入图片描述
在这里插入图片描述
再设置一下浏览器
在这里插入图片描述在这里插入图片描述

在设置一下本地地址
在这里插入图片描述
欧耶~成功,就是前几道题的一个综合而已 ~~

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-10-17 13:08:02  更:2022-10-17 13:10:32 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 6:04:31-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计