CTF之你能否抓到包?

最新推荐文章于 2024-10-23 09:16:57 发布
原创 最新推荐文章于 2024-10-23 09:16:57 发布 · 1.7k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何在CTF比赛中利用Burp Suite和火狐浏览器进行抓包和改包操作。首先,通过火狐浏览器设置代理,确保与Burp Suite使用相同IP和端口。接着,开启Burp Suite的拦截功能,捕获特定请求。在中继器中修改请求参数,将zh-CN更改为zh-hk,最终得到关键的key值。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、解题链接:http://ctf5.shiyanbar.com/basic/header/
2、解题方法:使用Burp Suite+火狐浏览器进行抓包改包
3、操作步骤:
(1)打开火狐浏览器进行设置代理任务,具体操作过程如下:点击选项—高级–网络–设置
这里写图片描述
设置的代理结果如下:选择手动设置代理–填写好ip地址和端口—点击 为所有协议选择相同代理
注意:这里的IP地址和端口与Burp Suite中使用的是相同的IP地址和端口
这里写图片描述
注意:如果选择的端口不能选中,有可能是端口被堵了,不能使用了,这时候就需要换个端口。开始我是用的8080端口,无奈总是点不好,我还以为坏掉了,随后又换了一个端口8081,才能抓包。

最低0.47元/天 解锁文章

200万优质内容无限畅学
ctfhub文件
a666666688的博客
08-07 741
文件的内容,通常这个文件含一些敏感信息,比如CTF比赛中的flag。这样就可以通过浏览器或其他HTTP客户端看到。,直接访问这个URL将导致服务器读取并返回。
CTFHUB--RCE--文件
qq_75120258的博客
03-02 1132
有时候由于网站功能需求,会让前端用户选择要含的文件,而开发人员又没有对要含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件含漏洞。当它与含函数结合时,php://filter经常会被当作代码呗执行,所以我们通常会对他进行BASE64编码。file=php://filter/resource=/flag 得到flag。php:// — 访问各个输入/输出流(I/O streams)data://text/plain 任意代码执行。zlib:// — 压缩流。
ctf练习之抓包
SDM_JH的博客
07-22 1555
1.进入练习网站,点击enter。 发现说需要admin才能进去,查看cookie,有user和member两个参数,所以先看看有没有cookie注入。打开bure suite,设置代理,获取抓包信息。 2.分析抓包信息,发现Member的参数可能是一个base64编码的内容,对它解码得打Normal单词。 3.尝试用base64编码Admin,在修改cookie的值,发送修改,得到flag。 ...
CTF经典题目之Fiddler 抓包
全栈胖叔叔
05-20 1436
今天遇到一个CTF题目, 题目打开是一个小游戏,堆砖块的。界面: 正常情况下,估计没人通关,flag 就在通关后才给,那只能借助Fiddler 来抓包看看了。 Fiddler 启动起来,把IP地址加入筛选器,只显示这个游戏窗口的的。 同时 自动断点,在提交前断点,对于回合制的游戏,一般有两种方式提交结果,一个是每一个动作提交一次,一个是最后次数用完一次性提交,断点设置如下: 然后勾选 捕获请求或者按F12 然后玩几步游戏,发现没有向服务端请求,证明是最后结算才请求,然后游戏玩到结算阶段,发现捕获了
CTF新手抓包找flag
weixin_45435726的博客
05-24 1万+
项目场景: *** Bugku之web10头等舱*** 问题描述: 我是在bugku刷题,感觉非常适合新手! 打开网址之后是这个 原因分析: 查看源代码,发现根本没有任何线索… 根据评论大佬提示,需要用抓包 (555最终还是躲不过学抓包) 解决方案: 于是在csdn查了很多资料,在这直接放一个我觉得很清晰明了的来自某大佬的教程链接吧~超简单抓包教程 然后点击Proxy–>Intercept–>HTTP history 找到题目的地址 最后点击Repeater,就能在服务器respo
数据取证总结
weixin_30390075的博客
09-05 358
数据取证总结 1. 先观察题目,如果题目有明确指示某端口,或某协议。然后根据提示的端口和协议构造过滤表达式,否则话一般都是考http协议的那种 (wireshark打开数据后,使用了过滤表达式后先搜索一下关键字flag,如果简单的题话会有flag)题目:BUUCTF-Misc-sqltestfl 1. 如果题目有类似于BUUCTF-Misc-sqltest这种类型的,二话不说wi...
【web-ctfctf-pikachu-暴力破解
一个努力生活的人的博客
06-11 3559
文章目录暴力破解(Brute Force)1.基于表单的暴力破解 burpsuite配置 火狐浏览器需要导入证书 如果无法抓到127.0.0.1的,可以试试以下操作 暴力破解(Brute Force) 1.基于表单的暴力破解 使用burpsuite工具中的intruder模块进行暴力破解:intruder模块使用教程 先随便输入一个username和password 利用burpsuite进行抓包抓到导入intruder模块(在空白处右键,选择send to intruder)
CTF工具.zip
11-20
CTF工具.zip
网鼎杯培训+ctf工具(javafx)+编解码+键盘和鼠标抓包解密+维吉尼亚暴力破解+暴力破解+曼彻斯特解码等
10-28
网鼎杯培训+ctf工具(javafx)+编解码+键盘和鼠标抓包解密+维吉尼亚暴力破解+暴力破解+曼彻斯特解码等
手把手教你用Burp抓包——Bugku 头等舱 超详细题解——CTF web小白入门基础篇
日熙的博客
07-19 6327
打开题目链接,发现什么都没有,查看网页源码也没发现有用信息。 题目是头等舱,应该是暗示在响应头或者是在响应头什么的里面,接下来用burpsuite抓包看看,果然在响应头里找到答案了。 ...
8021-CTF-第十四题-数据分析
koala_king的博客
12-03 2202
这是一道数据分析题 提示:只有在国外才能访问,我们进行抓包抓到后,send to repeater,更改Accept-Language:en-US,en;q=0.8 2·重新发送网页,得到key
网络安全CTF系列培训教程之Web篇-burpsuite爆破弱密码
ctfayang的博客
03-11 3470
本文介绍了Burpsuite的设置以及如何爆破攻击web 密码。
CTF-web 之 burp suite 使用
m0_62207482的博客
02-15 1187
请求的总数是 payload 组中 payload 的总数。我们可以通过 ADD 增加自己编辑的字符串,可以通过 paste 粘贴复制的字符串,可 以通过 load 来读取字典,这时候就需要网上的强大的字典了 dic.txt.下面随意举两个例题,大多数的 Bp 的使用都是很多题中的一个小小的步骤, 在这 里就不详细的讲解了,在看其他题目的时候也会涉及不少的 Bp 的使用。其中$$之间所夹的信息就是在测试中不断被替换的信息,我们可以编辑需要测试的 位置, 右侧有四个按钮, 也可以手动敲上去或者删除。
CTF常用工具汇总
Cairo_A的博客
04-08 2532
​ 做题很多的时候都会用到工具,我现在也来简单汇总一下我现在用到过的工具,很多都可以在github或者CTFHUB上直接下载到。 ​
2024版最新148款CTF工具整理大全(附下载安装)含基础环境、Web 安全、加密解密、密码爆破、文件、隐写、逆向、PWN等全套工具
Libra1313的博客
10-23 1万+
经常会有大学生粉丝朋友私信大白,想通过打CTF比赛镀金,作为进入一线互联网大厂的门票。但是在CTF做题很多的时候都会用到工具,所以在全网苦寻CTF比赛工具安装
CTF的一些常用工具
2201_75362610的博客
03-15 1421
常见的序列也就是:二进制格式,字节数组,json字符串,xml字符串反序列化的考点也是比较刁钻的,很多人都是比较头疼的,括现在的我见到反序列见到代码就恶心,这边列几个文章都是我学习反序列感觉比较好的文章!1,优快云的:https://blog.youkuaiyun.com/solitudi/article/details/113588692这个文章基本上很全的罗列了一些CTF的反序列知识点2,先知社区的:https://xz.aliyun.com/t/9342。
Bugku CTF web 你必须让他停下来 解题思路
m0_73734159的博客
10-13 1215
Bugku CTF web 你必须让他停下来 解题思路
【bugku CTF】POST、头等舱、网站被黑、alert、你必须让他停下、本地管理员、bp
m0_63563528的博客
02-01 2114
burpsuite抓包、爆破等模块的使用,hackbar的使用
CTF入门
热门推荐
chaoyueziji123的专栏
09-28 5万+
感谢白帽子ADoG A.K.A D3AdCa7 (死猫&霸道总裁)同学的投稿,以下内容供安全爱好者参考学习,本文获得投稿奖励300元,即将打入作者账户,投稿请发送邮件至 huangyuan#360.cn 序 信息安全作为国家越来越重视的领域已经在渐渐起飞,而CTF(Capture the flag)作为信息安全领域选拔人才和互相比拼技能水平的比赛形式,也被越来越多的人所关注,那么作为一
ctf抓包 burp
最新发布
02-25
### 使用 Burp Suite 在 CTF 中进行网络数据捕获 #### 启动并配置 Burp Suite 为了能够顺利使用 Burp Suite 进行抓包操作,在开始之前需要确保已经按照官方说明完成了 Burp Suite 的下载与安装工作[^3]。对于初次使用者来说,可以通过命令 `java -jar D:\软件安装位置\BurpsuiteCommunity\burpsuite_community.jar` 来启动应用程序。 #### 浏览器代理设置 为了让浏览器流量通过 Burp Suite 被拦截下来,需调整浏览器的代理服务器设定。针对 Google Chrome 或 Firefox 等主流浏览器而言,应该将 HTTP 和 HTTPS 请求都指向本地主机上的特定端口,默认情况下该端口号为 8080[^2]。完成此步后,访问目标网站前务必确认 Burp Suite 已经开启监听功能,并且 Intercept 功能已被激活(即显示 "Intercept is on"),这样才能有效捕捉到发出的数据流。 ```bash # Windows 下可通过如下方式快速查看本机IP地址用于代理配置验证 ipconfig | findstr IPv4 ``` #### 开始抓取数据 当一切准备就绪之后,只需正常浏览所需测试的目标站点页面即可实现自动化的数据截获过程。此时可以在 Burp Suite 的界面内看到实时更新的各种HTTP/HTTPS请求响应详情记录。如果遇到某些特殊场景下的问题排查需求,则可以利用内置的功能模块进一步分析这些被保存下来的交互信息。 #### 常见注意事项 - **检查状态**:确保在发起任何新的会话连接之前,“Intercept”选项已经被正确启用。 - **证书信任**:首次运行时可能还需要向操作系统导入由 Burp 自签名的安全证书以便处理加密通信链路。 - **参数选择准确性**:注意所选参数范围应当精确无误,以免影响后续任务执行效果[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值