一天一道CTF 第11天(修改数据包)

最新推荐文章于 2025-04-21 22:18:24 发布
原创 最新推荐文章于 2025-04-21 22:18:24 发布 · 445 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了通过抓包并在头部添加特定字段的方式访问Secret.php的方法。包括设置Referer、User-Agent和X-Forwarded-For等参数的过程。

今天为什么这么热啊啊啊
[极客大挑战 2019]Http
网页本身没什么提示,查看源码发现Secret.php文件,在后缀加/Secret.php访问,提示要从https://www.Sycsecret.com这个网站进入在这里插入图片描述
在这里插入图片描述
那么最方便的就是用bp抓包然后在头部里添加Referer:https://www.Sycsecret.com
在这里插入图片描述
提示Please use “Syclover” Browser,那就User-Agent:Syclover
在这里插入图片描述
又提示说只能从本地读"You can only read locally",那就再加个X-Forwarded-For:127.0.0.1,得到flag
在这里插入图片描述

scrawman
关注
从零开始学CTF(第十二期)
2501_90727259的博客
07-09 750
Mellivora是一个轻量级开源CTF竞赛平台,基于PHP和MySQL开发,具有部署简单、性能优异和模块化设计等特点。本文详细介绍了Mellivora的搭建流程:从LAMP/LNMP环境准备、源码获取与配置,到数据库初始化、管理员账户创建;从赛事基础设置、题目管理、用户权限配置,到安全加固与性能优化措施。平台支持动态分值、团队模式等功能,可通过插件扩展定制化需求。文中还提供了高校CTF训练平台的实战案例,展示了Mellivora在小型赛事中的实际应用。
第02:基础入门-数据包拓展
weixin_43909650的博客
02-05 235
第02:基础入门-数据包拓展 HTTP/S数据包 Request请求数据包 Response返回数据包 Request请求数据包 Proxy代理服务器 在这个部分可以修改数据包,如Burpsuit。 Response返回数据包 http:抓到的数据都是明文; https:抓到的数据都是加密的,有证书、加密协议。 HTTP/HTTPS具体区别? 是否加密。用HTTPS需要申请证书,麻烦,非必要不使用。 HTTP简要通信过程 建立连接→发送请求数据包→返回响应数据包→关闭连
CTF部分题解
2402_85002433的博客
04-21 245
2.打开开发者工具(开通过按F12开启),在网络或Network中的Name中选中与已有IP地址内容相同的或者第一个双击打开在第一列中找到password,password对应的第二列内容就是登录密码。:开发者工具打开后网络界面中Name下可能不存在内容,需要刷新启动,password对应密码由系统随机生成有5分钟时限。1.打开实验环境后开启开发者工具(开通过按F12开启),选择源程序或Sources进行查找漏洞,(该实验中并不具有漏洞),但自此之中可知登录密码与password相关。
学习CTF不容错过的搜索引擎命令
csjjjd的博客
12-23 866
例如,如果您在Google中输入"ctf site:www.example.com",则搜索结果将只包含来自www.example.com网站的与"ctf"相关的页面。外国有很多有用的期刊还有先进的资料,能够助力学习,但是你最好安装一款插件可以中英转换。(1).加上双引号,可以进行全词搜索,如"CTF社工",只会搜索完全匹配的网页。使用OR,即匹配多个搜索字词中的任意一个,如 奥运会 2014 OR 2018。"的网站中搜索包含"ctf"关键词的页面。使用减号,排除改词,如 CTF -社工。
[极客大挑战 2019]Http
Braindance
03-04 251
查看源码在"氛围"这两个字上有隐藏的跳转Secret.php。进入以后页面显示 It doesn't come from 'https://www.Sycsecret.com' 提示页面不是来自这个网址,所以在HackBar上加上Referer:https://www.Sycsecret.com。之后又提示 Please use "Syclover" browser 加上User-Agent:Syclover。又提示 No!!! you can only read this locally!!! 加.
2024.1.24
2402_88491560的博客
01-24 1195
的应用程序名称、版本号、操作系统信息和一些其他相关的信息,用来。这个字符串通常包含了。
ctf web基本步骤
小小白的博客
06-27 3万+
大家做ctf简单点的都可以用这些判断,基本上都会有,除非个别变态的。 1. 看源码 可以右键->【查看网页源代码】,也可以用火狐和谷歌浏览器的按F12键,按F12键可以修改html源代码方便构造一些值提交,但如果不需要的话直接右键查看源代码更直观,看网页里面的注释之类的都很方便。 2. 抓包 这几接触到的抓包一般是用burpsuite,如果要多次尝试可以右键->【send t...
B站小迪安全学习笔记第2-数据包拓展
m0_61530426的博客
07-08 405
小迪安全笔记
【笔记】结合CTF理解Web安全
诗酒趁年华
05-31 1346
这三者关系是互补的,当SDL出现差错时,可以通过周期性的扫描,安全评估等工作将问题及时解决,而入侵检测(suricata),WAF(ModSecurity)等系统,则可以在安全事件发生后的第一时间进行响应,并有助于时候定损,如果三者只剩其一,都可能使得公司的安全体系出现短板,给攻击者带来可乘之机。
2020小迪安全第十一天笔记-WEB漏洞基本知识
weixin_51566416的博客
03-04 4180
笔记来源视频:【小迪安全】web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili​​​​​​ 前言: 本章节将讲解各种 WEB 层面上的有那些漏洞类型,具体漏洞 的危害等级,以简要的影响范围测试进行实例分析,思维导图中的漏洞也 是后面我们将要学习到的各个知识点,其中针对漏洞的形成原理,如何发现,如何利用将是本章节学习的重点内容! 此图中右边漏洞是重点,但是左边的漏洞也要掌握 简要知识: ...
CTF里面的WEB题的一些解决思路
热门推荐
DALE1186487104的博客
04-19 4万+
CTF里面解决WEB题的一些常用思路:(福利:末尾有视频链接)如图( 十八罗汉)                                                                                        PS:(下文的序列号是对图片中序列号的一些补充)WEB题中常用的工具                                    (1...
web buuctf [极客大挑战 2019]Http1
weixin_44214568的博客
08-18 1397
1.开F12进到主页面,先查看源代码,发现php文件 2.链接进入 node4.buuoj.cn:26912/Secret.php 3.题目是关于http的,http的考点大多都是在消息头上,根据网页提示,需要修改页面的来源 也就是修改消息头的Referer参数 关于referer参数,正常页面输入url进入其他网页是不用配置referer参数的,但是在通过超链接进入其他网页的时候,客户端的请求会配置上referer参数,也就是超链接所在的url。 我们可以通过burpsuit修改参数,打..
CTF-web 第四部分 burp suite使用
iamsongyu的博客
10-09 5062
四. burp suite使用 一般其是作为一个辅助工具,直接使用来解题的部分是少数,我们可以使用它来观察请求和响应,并且可以反复的提交,关键的是他还带有很多其他的功能,在我们做题的过程中,使用的关键点包括: 1. 页面和源码无特殊信息时,可以使用抓包观察 ----有无特殊字段,泄露服务器或flag等信息 ----对提交的url和数据进行观察 2. 使用reapter功能,重复的测试提交的数据,观...
BUUCTF - web - PingPingPing+Knife+Http
1tachi的博客
11-02 474
文章目录前言PingPingPing分析构造payload其他方法白给的shellHttpRepeater 前言 已经坚持了半个月了,有十多一直在写杂项,直到学长委婉地告诉我杂项没啥技术性,就流量分析有点用,建议我学pwn,所以这几我开始做web了 我会一直坚持下去 加油! PingPingPing 分析 想到昨做了一个ping加Linux命令,今这个也可以试试 ?ip=127.0.0.1|ls 尝试拿flag?ip=127.0.0.1|cat flag.php 看来空格被禁了,尝试绕过 换
CTF web题总结--http header 修改、cookie注入
bob的博客
08-31 6098
内网访问,X-Forward-For:127.0.0.1 Accept-Language User-Agent status=login
ctf (Do_you_know_http)
Glacier_Mount的博客
06-27 4049
burp suite的简单应用
抓包改包的一个小案例
月小白
06-12 5796
ctf练习题提示:make sure you are in HongKong提示我们,需要将网页数据包改为香港语言,那就需要使用burp suit进行抓包改包,将off改为on,再次进行刷新,就可抓到数据,点击action,选择send to  repeater,点击repeater,可以看到,数据包中的accept-language是zh-CN;那我们将它改为zh-hk,点击go,可以在右侧页面...
实验室暑期CTF训练赛--第三、四周
AlienEowynWan的博客
08-27 396
由于生病一直没有写博客,在此补上 题目链接 RE game unity游戏,我们可以先玩一下 游戏是控制一个白球吃分,全部吃掉一共能得到12分 题目是第13个数在哪,猜测需要改程序得到13分 由于unity是用C#开发,所以用dnspy 在Cheat Engine_Data\Managed文件夹中找到Assembly-CSharp.dll 这是程序的源码,用来存放C#工程 凭借经验找到的start()函数 这里是对游戏的初始化设置,我们将开始的分数改为12 ...
攻防世界web入门-xff_referer write up
m0_62851980的博客
03-28 2848
题目描述:X老师告诉小宁其实xff和referer是可以伪造的。 先稍微了解一下xff是啥子: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP头字段。 简单来说,xff就是发送方最原始的IP地址,而题目提示了xff和referer都可以伪造。 而修改xff有两种方法: 1.火狐下载X-Forwarded-For插件,进行IP地址的修改 2.bp抓包后修改IP地址 先说火狐下载插件修改:火狐进入更多工具-&
ctf似乎是个加密“倒计时最后一天
最新发布
09-13
CTF竞赛中常见的加密方式有多种,以下为你介绍几种不同加密方式对“倒计时最后一天”进行加密的示例。 ### RSA加密 RSA是一种经典的非对称加密算法。参考示例中的Python代码,在实际应用时需先生成大素数 `p` 和 `q...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值