CTF-服务器返回数据查看

最新推荐文章于 2025-08-01 09:39:27 发布

Jimmy22

最新推荐文章于 2025-08-01 09:39:27 发布

阅读量989

点赞数

CC 4.0 BY-SA版权

分类专栏：墨者学院

本文链接：https://blog.youkuaiyun.com/asd158923328/article/details/99878754

墨者学院专栏收录该内容

100 篇文章

订阅专栏

靶场地址：
https://www.mozhe.cn/bug/detail/bnlGb1NrcElqc1RlQVV3VDhXVXA5dz09bW96aGUmozhe
根据题意
在这里插入图片描述
回答页面中的问题，使用burp suite抓包，找到页面返回的Response Headers数据内容

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Jimmy22

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

ctf-web

weixin_43150428的博客

11-04

3008

ctf-web 信息搜集认证绕过 SQL注入文件上传文件包含 PHP代码审计信息搜集源码泄露页面源代码敏感文件泄漏备份文件(.swp/.bak/.beifen/~/phps等) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MGonEuLW-1604453612546)(https://i.loli.net/2020/11/02/kUboAxLhtRvD85z.png)] 数据库(mdb) 压缩包(zip/tar.gz//DS_Stor

【CTF-SHOW】 web入门 web11-域名隐藏信息【详-域名】

2302_79596028的博客

10-13

1931

域名（Domain Name）是互联网上用来标识网站或网络服务的名字，它是一个人类易于记忆和使用的地址，用于代替复杂的IP地址。在互联网中，设备（如服务器）通过IP地址进行通信，但IP地址是数字的，不容易记忆，所以域名系统（DNS）出现了。www.example.com 映射为对应的IP地址例如：192.0.2.1顶级域名（TLD）：例如.com、.org、.net等。二级域名：例如example.com中的example。子域名：例如www.example.com中的www。

参与评论您还未登录，请先登录后发表或查看评论

ctf web中快速反弹

wssmiss的博客

03-25

670

**原文：**https://ciphersaw.me/2017/12/16/详解 CTF Web 中的快速反弹 POST 请求/ 原文作者:Cipher Saw 0x00 前言在 CTF Web 的基础题中，经常出现一类题型：在 HTTP 响应头获取了一段有效期很短的 key 值后，需要将经过处理后的 key 值快速 POST 给服务器，若 key 值还在有效期内，则服务器返回最终的 flag...

CTF-数据分析（十一）

→_→

08-11

1022

声明：以下CTF题均来自网上收集，在这里主要是给新手们涨涨见识，仅供参考而已。需要题目数据包的请私信或在下方留言。 21.数据包分析- No_Big_Deal （来源：google-ctf-2016） 1.关卡描述有时答案很明显，有时会被掩盖。找到答案下载附件并从中获取flag值进行提交。 2.解题步骤 2.1 点击题目查看描述并下载附，在kali中执行strings no-big-deal.pcap| egrep "....

啥是CTF？新手如何入门CTF？

最新发布

m0_56146626的博客

08-01

604

CTF 是 Capture The Flag 的简称，中文咱们叫夺旗赛，其本意是西方的一种传统运动。在比赛上两军会互相争夺旗帜，当有一方的旗帜已被敌军夺取，就代表了那一方的战败。在信息安全领域的 CTF 是说，通过各种攻击手法，获取服务器后寻找指定的字段，或者文件中某一个固定格式的字段，这个字段叫做 flag，其形式一般为 flag{xxxxxxxx}，提交到裁判机就可以得分。

【CTF-Misc】GPS数据处理：WriteUp of “CatchCat”

hustle28214的博客

12-29

1717

以一道夺旗题分享一个python3处理GPS数据的方式。

CTF入门题目web响应头的获取

shallon686的博客

09-24

585

http://172.22.2.211:8005/这是目标网站首先打开，目的是获取响应头文件首先通过网页的审查元素查看网页源代码也是很皮，用描述语句迷惑性十足废话不多说直接找响应头文件，刷新下网页得到Flag FLAG:WYE{Really_check_in} ...

墨者学院-入门级-服务器返回数据查看-小白必看（超详细）

kitiu666的博客

08-03

1491

2020年8月3日，第二次网络安全试验。本实验较简单，不需要用到任何抓包工具，但还是想写写，当个记录。准备需要： 1.window电脑 1.进入靶场，一个选择题，答对和答错都会出现弹框。但我们看不出key在哪，因为key隐藏在了弹框的返回包中。 2.按F12，选择Network，然后再提交一次答案，这时候就会出现两个文件包，我们进入第219.153.49.228的文件。 3.打开后，寻找key，找到后复制，粘贴就成功了。实验超简单，是超，但这也启示我们看看数据不要只看表面，有些信息或许被隐藏

SQLi-CTF-master.zip

04-09

在SQL注入攻击中，攻击者可以向应用程序输入恶意的SQL代码，以篡改数据库查询、获取未经授权的数据，甚至完全控制数据库服务器。以下是一些关于SQL注入的关键知识点： 1. **类型分类**： - **错误回显型**：攻击者...

CTF-Web学习笔记：SQL注入篇

Deng7326的博客

07-28

1151

本文系统梳理了CTF竞赛中SQL注入的核心原理与实战技巧。首先介绍了SQL注入的基础概念和成因，即用户输入数据被直接拼接到SQL语句中执行。其次分类解析了CTF常见的注入类型，包括数字/字符串型注入、报错/盲注/联合查询等攻击方式。文章重点分享了实战经验：如何判断注入点、确定数据库类型、使用工具辅助及绕过WAF防御。最后通过一道报错注入题目，详细演示了从数据库名获取到最终拿Flag的完整解题流程，并推荐了SQLiLabs等练习平台。

CTF-Web学习笔记：服务端请求伪造（SSRF）篇

Deng7326的博客

07-29

1235

本文系统介绍了CTF比赛中SSRF漏洞的攻防技术。首先解析了SSRF的核心原理，即利用服务器对用户输入URL的未校验缺陷，诱导其访问内网资源。然后详细分析了5类常见CTF题型：文件读取、内网探测、云服务元数据窃取、协议绕过及组合漏洞利用。重点讲解了绕过URL过滤、利用特殊协议（如dict://、gopher://）等实战技巧，并通过一道SSRF+Redis的高阶题目演示完整攻击链。最后给出防御建议：严格校验输入URL、禁用危险协议、实施内网隔离等。

极客大挑战2019的"服务端检测系统"

silence1_的博客

11-17

836

极客大挑战的"服务端检测系统" 这道题没做出来，看来writeup之后发现是因为自己基础知识不足。这里补一下。关于HTTP头的一些小知识 http头的格式：请求方法 /路径 HTTP/版本头字段: 值比如： GET /index.php HTTP/1.1 Host: 127.0.0.1 http头部的各个字段之间用CRLF(\r\n)(%0d%0a)分割 http请求头(响应头)...

ctf-攻防世界-web：cookie

一只菜鸟的博客

11-01

4597

提示在cookie里放了东西，那么就去查看cookie吧。F12打开开发者工具，在储存里有名为look-here，值为cookie.php的cookie 访问cookie.php，提示See the http response，即查看http返回包。在开发者工具的网络一栏查看cookie.php，即可发现flag 或者用burp抓包，右键send to repeater 可查看返回包的headers发现flag ...

网络抓包与HTTP协议

YouthBlood9的博客

11-06

1679

嘿！我是目录一、Wireshark网络封包分析软件1.1 定义1.2 应用1.3 工作流程1.4 时标与过滤器二、Fiddler抓包工具2.1 定义2.2 工作原理三、TCP三次握手3.1步骤参考文献一、Wireshark网络封包分析软件 1.1 定义 Wireshark（前称Ethereal）：是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。在过去，网络封包分析软件是非常昂贵

学习打卡web

wuwuliuliu0524的博客

07-05

1301

合天网安实验室2022.7.5使用burp进行暴力破解打卡burp相当于在浏览器向服务器发出请求的中间端加了一层代理，发送的请求就会被截获burpsuite设置监听端口：burp：Proxy-Options，本地8080端口是默认选择的，可以另行添加Add本地：控制面板-网络和Internet-Internet选项-连接-局域网设置-代理服务器Proxy-Intercept-Intercept is on，然后开始访问网站，截获后点击forward，这个包就从代理发送给服务器，服务器返回的结果仍旧会被记录，

云演ctf-黑客帝国（附flag）

m0_62630794的博客

01-23

598

【代码】云演ctf-黑客帝国（附flag）

ctfshow刷题web入门--1--ljcsd

m0_74317362的博客

11-25

1997

cat flag 空格 [0-9] * more wget less head sort tail sed cut tac awk strings od curl nl scp rm ` % 制表符 & >

Burp Suite

AmyBaby00的博客

10-29

1040

本文为学习笔记，仅限学习交流不得利用、从事危害国家或人民安全、荣誉和利益等活动 Burp Suite是用于攻击web 应用程序的集成平台，包含了许多工具。Burp Suite为这些工具设计了许多接口，以加快攻击应用程序的过程。在一个工具处理HTTP 请求和响应时，它可以选择调用其他任意的Burp工具。所有工具都共享一个请求，并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报的一个强大...

burp返回包内容横向显示_HTTP协议的抓包分析

weixin_33601402的博客

02-01

826

一、利用telnet 模拟浏览器发送HTTP 请求，测试多种请求二、利用Burp 分析cms 网站后台登录过程三、利用Burp 抓到百度首页HTTPS 数据包，并观察协议以及版本答：一、在win2008中开启phpstudy，并开启页面，在kali虚拟机中使用telnet服务去请求1.利用GET方法2. 利用HEAD方法3. 利用TRACE方法二、特定cms网站进行抓包1.点击后台登陆时，会发送请...

ctf-ssrf-redis

06-14

我们正在讨论CTF比赛中与SSRF（Server-SideRequestForgery）和Redis相关的攻击或防御技巧。根据提供的引用，攻击者常利用SSRF漏洞通过特定的协议（如dict或gopher）与内网的Redis服务交互，进而实现未授权访问、写入...