CTF web题总结--http header 修改、cookie注入

最新推荐文章于 2024-12-15 00:13:32 发布
原创 最新推荐文章于 2024-12-15 00:13:32 发布 · 6k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了内网访问的基本配置方法,包括如何设置X-Forward-For字段为127.0.0.1,以及如何正确配置Accept-Language和User-Agent等HTTP头部信息。此外,还介绍了与登录状态相关的配置技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

内网访问,X-Forward-For:127.0.0.1
Accept-Language
User-Agent
status=login

CTF-HTTP注入漏洞测试(X-Forwarded-for)
asd158923328的博客
08-21 2390
根据意 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 进入环境,打开跳转页 打开Burp Suite ,抓包,右键发送给repeater,填入X-Forwarded-For,首先判断是否可注入。 order by 判断表数量,从1开始依次试试,最后发现是4 union select 1,2...
CTFHub Web(3星-6星)
qq_43936524的博客
05-20 2308
三星难度Web afr-2 afr-1 提示文件包含 输入hello 回显hello world! 输入flag 回显no no no 又试了几个输入无回显 可以猜测输入的内容添加了后缀后显示出了文件内容 采用 php://filter/read=convert.base64-encode/resource=flag 成功读取flag.php内容 解码后得到flag n1book{afr_1_solved} checkin 扫目录只扫出了index.php一个页面,抓取响应包发现有flag字段
CTF-WEB——HTTP Headers类型
qq_45521281的博客
04-26 8478
基本套路 此类型就是套路: burpsuite抓包,重放,并根据目要求多次重放,最终满足全部要求后获得flag。 Header请求头参数详解 Header 解释 示例 Accept 指定客户端能够接收的内容类型 Accept: text/plain, text/html,application/json Accept-Charset 浏览器可以接受的字符编码集。 Accep...
CTFHTTP命令注入
IT小学子的博客
05-04 548
主机:192.168.32.152   靶机:192.168.32.167 首先nmap,nikto -host,dirb 探测 robots.txt目录下 在/nothing目录中,查看源码发现pass 在secure目录下发现一个zip文件,下载下来,发现密码freedom即可打开 然后发现mp3文件其实是text文本,cat打开 发现一段文字还有个url,打开url,用户...
http注入
梁顿的专栏
10-10 1159
https://zhuanlan.zhihu.com/p/27553821
CTF-Web20(涉及简单的cookie与session)
→_→
09-21 5825
20.Guess Next Session 分析: 观察代码,在代码中并没有什么函数,关键就在于:password = $_session['password']。 问到了这一步,让我们把这放下,先来分析一下PHP中的Session和CookieCookie与 Session,一般都会认为这是两个独立完全不同的东西,Session采用的是在服务器端保持状态的方案,而Cookie采用的是在客户端保持状态的方案。在PHP配置中的默认情况下,Session是用Session ID来确.
南邮ctf nctf CG-CTF webwriteup
XQin9T1an的博客
08-03 3151
0x01 签到 目链接:http://chinalover.sinaapp.com/web1/ 查看源码可得到flag flag:nctf{flag_admiaanaaaaaaaaaaa} 0x02 md5 collision 目链接:http://chinalover.sinaapp.com/web19/ 目给了源码 $md51 = md5('QNKCDZO'); $a = @$_G...
CTF|BugkuCTF-WEB思路
这里是一处长期不更新的博客
06-15 2219
截止至练习【login4】,仅提供解思路。 WEB2 按F12直接可得flag 计算器: 直接按F12,将maxlength修改,输入正确结果即可得到flag web基础$_GET URL输入:http://123.206.87.240:8002/get/?what=flag web基础$_POST 使用hackbar工具,按F12,打开Post data,传递what=flag。 矛盾 这里是使用is_numeric遇到%00截断的漏洞,这里构造 http://120.24.86.145:8002.
CTF 攻防世界 Web: FlatScience write-up
最新发布
qq_60256199的博客
12-15 795
CTF 攻防世界 Web: FlatScience
BugkuCTF-WEB-第43到第52
Alita_lxz的博客
11-04 1360
BugkuCTF-WEB-第43到第52
头有点大 修改header
雨九九的小窝
10-25 561
提示说了修改请求头 对应的三个点是.NET版本,语言/地区,浏览器标识 .net 9.9 -> User-Agent 添加;.NET CLR 9.9 England -> Accept-Language 修改为 en-gb IE -> 修改User-Agent ...
CTF Web学习(一)----基础篇及头文件修改、隐藏
网络猿的博客
01-10 4424
CTF Web学习 CTF Web学习(一):基础篇及头文件修改、隐藏 CTF Web学习(一):基础篇及头文件修改、隐藏 文章目录CTF Web学习前言一、直接查看源代码(一)F12看代码1、bugku web12、bugku web2二、头文件、属性、隐藏等(一)input限制输入长度1、修改maxlength属性(二)修改头文件1、修改User Agent属性2、修改Accept-Language属性3、修改cookie4、头文件里藏flag5、域名解析(三)各种隐藏1、302隐藏2、js隐藏
HTTP Header Accept-Language的ctf
aiquan9342的博客
05-03 289
目也不知道该怎么取,但是是实在的一个案例。分享给大家。 种族歧视分值: 300 小明同学今天访问了一个网站,竟然不允许中国人访问!太坑了,于是小明同学决心一定要进去一探究竟! 发现accept-Language处所使用的是zh-CN zh-CN是那个国家的不知道,反正我们国家使用的是en就对了,改成en 成功拿到key PS:en-US 是标准的美国英文表示...
[CTF攻防世界] WEB区 关于Cookie
weixin_43586169的博客
04-14 2065
描述关于Cookie
http请求的几种方法
only_的博客
09-05 1123
1.GET 发送请求来获得服务器上的资源,请求体中不会包含请求数据,请求数据放在协议头中。另外get支持快取、缓存、可保留书签等。幂等 2.POST 和get一样很常见,向服务器提交资源让服务器处理,比如提交表单、上传文件等,可能导致建立新的资源或者对原有资源的修改。提交的资源放在请求体中。不支持快取。非幂等 3.HEAD 本质和get一样,但是响应中没有呈现数据,而是http的头信息,主...
CTF练习[WEB]-cookies
weixin_45246254的博客
02-10 2893
https://ctf.bugku.com/challenges/detail/id/87.html 拿到目如下,提示:Cookies欺骗 访问跳转到以下地址 http://114.67.175.224:15773/index.php?line=&filename=a2V5cy50eHQ= filename看起来就是base64,拿去解码 扫目录没有发现其他可疑文件 推测攻破点就在这个filename这里了,另外还有个line变量 先把line拿去遍历,没有发现什么 已知的还有一个文件就是
CTF web入门——HTTP头相关的----修改请求头、伪造Cookie目——Bugku Web目详细
热门推荐
日熙的博客
07-25 6万+
目一:Bugku 程序员本地网站 1.打开目显示如下: 目二:Bugku 管理员系统 目三:XCTF xff_referer
CTFHUB-Cookie注入
Web学习之路
03-28 280
cookie
CTFHub(Cookie注入
sGanYu
07-26 1973
手动注入 什么是cookie? 一种能够让网站服务器把少量数据储存到客户端的硬盘或内存,或是从客户端的硬盘读取数据的一种技术。当用户第一次访问页面的时候,服务器会生成一个用户特有的cookie,之后浏览器会根据用户设置的Cookie信息加载出内容,简单来说,cookie其实就是用户凭证的意思。 sqlmap注入 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值