墨者学院-入门级-HTTP动作练习-小白必看(超详细)

最新推荐文章于 2023-07-20 19:56:39 发布
最新推荐文章于 2023-07-20 19:56:39 发布
阅读量1.7k 收藏 8
点赞数 4
分类专栏: 墨者学院-入门级 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kitiu666/article/details/108075186
版权

2020年8月18日,第四次渗透测试试验。
通过拦截数据包响应包,修改内容,实现get变为post的提交。

准备需要:
1.window电脑
2.burpsuite(bp)抓包软件

1.进入靶场
在这里插入图片描述
点击【静夜思】后发现页面会发生错误 这时它提示我们说相应URL过长
在这里插入图片描述
这样就涉及到GET和POST提交方式的区别
我们猜想有可能是URL的长度过长导致报错
在这里插入图片描述

2.开启bp代理 开启响应包拦截(不懂的可以看我第一次试验的投稿)
然后发现,拦截到的数据包有巨多内容,而且提交方式为GET
在这里插入图片描述
3.根据提示和之前的两者区别,我们的目标是要把GET方提交方式改为POST,因此我们尝试直接把GET改为POST。

最低0.47元/天 解锁文章
墨者学院 在线靶场 HTTP动作练习
weixin_60937978的博客
04-21 377
抓包 把GET改成POST,把中间的content剪切到末尾,去掉问号 bug zh 正确答案
墨者学院-入门级-phpMyAdmin后台文件包含分析溯源-小白看(超详细
kitiu666的博客
01-26 1446
2021年1月26日,第六次渗透测试。 实在抱歉,因为工作原因许久没有更新测试,期间生活也发生了很多事,现在心情也不怎么好,但也尽量讲细一点吧,开干! 准备需求: 1、win10系统; 2、中国菜刀; 1、进入靶场 账号:root 密码:root 这个账号密码都是看其他的教程知道的,至于怎样破解出来不知道,能力有限,过后我看看怎么来的吧。(如果了解再回来追跟); 2、进入到后台,到SQL页面,在控制台下输入以下命令,然后点击执行; select ‘<?php eval($_POST[key
在线靶场-墨者-网络安全1星-HTTP动作练习
weixin_42079912的博客
07-19 1348
打开靶场网页,点击静夜得知url太长,使用get请求方式不合适。 于是打开浏览器的代理。运行burp suite。点击静夜,burp suite开始抓包,抓到数据包后右键点击Chang request method。更改提交方式(POST),然后将数据包右键点击send to Repeater,在Repeater页面点击GO发送,得到网页反馈获取key。 ...
墨者学院 - HTTP动作练习
多崎巡礼的博客
08-28 1307
方法一: 如图 查看源码-复制content的内容 进入  ip/info.php post    方法二: burp抓包-右键change request method done 需要注意的是,如果直接改包的话,需要将提交方式改为POST,加上content-type                                   ...
墨者学院HTTP动作练习
rumil的博客
07-20 549
发现数据包当中为GET请求,而且参数值过于长,所以我们将请求改为POST请求,然后将content参数值放在请求体当中,放包即可。将此数据包再次和GET请求数据包进行对比,发现info.php文件,再次修改添加即可。将刚刚获取的content参数值(重发器当中)复制到这里来,在重发器当中测试。根据题目分析,然后再次点击静夜,bp抓包即可。我们正常的点击静夜,给与我们网页提示信息。发现请求,正常响应成功,源码也呈现出来。并没到得到我们想要的结果,继续分析。再次发送,即可成功获取key。
墨者网络安全——HTTP动作练习
weixin_53980169的博客
07-22 337
墨者网络安全http动作练习
墨者 - HTTP动作练习
吃肉唐僧的博客
07-07 765
正常访问,get的方式url太长了 根据出题路,修改为post方法提交数据。 方法一 用bp抓包,然后改变请求 get改为post,还需要加上Content-Type 这里有个坑:content内容放到最下面,但是只空一行就行了,还有content的内容复制到下面的时候不要复制多空格,否则提示content内容出错(博主就是在这里耗了不少时间.....) 方法二...
HTTP动作练习
asd158923328的博客
08-20 460
靶场地址: https://www.mozhe.cn/bug/detail/eld5Z1UvZ0dFRlB3TmxoZVVzbmZJUT09bW96aGUmozhe 根据题意 启动靶机,点击网页 点击静夜,提示url太长 Burp,进行抓包 把GET改成POST,添加content-Type:application/x-www-form-urlencoded,获取key ...
墨者学院-入门级-SQL手工注入漏洞测试(MySQL数据库)-小白看(超详细
kitiu666的博客
04-26 1459
2021年2月2日,第八次渗透测试。 这次实践SQL的盲注,知识点比较多,除了实验的讲述还会加上知识点的讲解; 测试寻找注入口: 1,、进入靶场,发现界面和之前做过的实验一样,我们需要进入“维护通知的地址”进行说起来的注入; 2、我们直接进在地址栏进行SQL语句的注入测试; 在地址栏加上语句“and 1=1”,页面可以正常显示。再尝试加入语句“and 1=2”,页面显示出错,没有了相关内容。说明地址栏是一个sql 的一个注入口;(原理说明可以看我之前做过的实验博客) sql语句注入: 3、发现了注入口
墨者学院-入门级-SQL注入漏洞测试(布尔盲注)-小白看(超详细
kitiu666的博客
08-26 4505
2020年8月25日,第五次渗透测试。 通过对sql语句进行注入,数据库的库名,表名,字段进步爆破,最终获得key。 准备需求: 1.windows系统pc 2.2.burpsuite(bp)抓包软件 3.sqlmap sql 数据库的爆破工具 1.进入靶场 ...
墨者学院-HTML前端代码分析(暗链)HTTP动作练习、IP地址伪造(第2题)
最新发布
05-29
HTML前端代码分析(暗链)HTTP动作练习、IP地址伪造(第2题)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(第1题)、PHP代码分析溯源(第2题)、PHP逻辑漏洞利用实战(第1题)、SQL手工注入漏洞测试(Access数据库)
墨者学院-HTTP动作练习
JimWu的博客
09-04 427
HTTP动作练习 难易程度:★ 题目类型:网络安全 使用工具:FireFox浏览器、burpsuite 1.打开靶场,打开Burpsuite截包。 2.截到包后,尝试直接修改GET为POST,然后forward。 3.失败 4.返回,再截包,右键change request method。 forward一下。 5.成功获取key! ...
墨者靶场—HTTP动作练习
a123aa1aaaaaa的博客
10-09 375
实训目标: 1、掌握在浏览器发送数据时、GET、POST两者方式的差异; 2、理解在PHP程序中$_REQUEST、$_GET、$_POST三者之间的区别; 3、了解不同浏览器通过GET方式传递数据时,限制数据长度的大小; 解题路: ...
墨者学院--http动作练习
weixin_44382289的博客
09-23 449
1.点击网页,提示错误,原因为参数过长,根据题意猜测是传参方式不对,所以先打开burp进行抓包;在这里有兴趣的去理解GET传参与POST传参的区别; 2.发现是通过GET方式进行传参,根据题意,认为这就是报错原因,所以将修改request包 点击go,查看回包,发现key ...
墨者-HTTP动作练习
qq_68581192的博客
07-10 145
我们将GET改为POST,再将content内容剪切到最下面(需要空行),再在请求头部分添加Content-Type:application/x-www-form-urlencoded,主要用于表单形式的POST请求中,如普通的表单提交,或者js发包,默认都是通过这种方式,更改如下。根据题中提示,我们利用burp suite进行抓包,显示如下图(抓的包是点击了静夜的)点击放包,回到原页面,出现KEY,显示如下图。打开靶场,显示如下图。
墨者学院sql注入 x-f
07-27
墨者学院SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在输入字段中插入恶意的SQL代码来实现对数据库的非授权访问。X-F是HTTP请求头部的一个字段,通常用于传递客户端IP地址或其他相关信息。在某些情况下,攻击者可能会尝试利用X-F字段进行SQL注入攻击。为了防止SQL注入攻击,开发人员应该合理地验证和过滤用户输入,并使用参数化查询或预编译语句来防止SQL注入攻击。此外,最好避免将用户输入直接拼接到SQL查询中。墨者学院可能提供相关的课程或教程来帮助开发人员学习和理解如何防止SQL注入攻击。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值