Bugku--CTF-- GET POST

原创已于 2022-07-07 19:32:58 修改 · 547 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#Bugku #CTF

于 2022-05-05 15:05:30 首次发布

CTF 专栏收录该内容

3 篇文章

订阅专栏

本文对比GET与POST方法在数据位置、大小限制、请求次数和缓存行为上的区别，深入解析两者在Web开发中的角色。

部署运行你感兴趣的模型镜像

1、GET
在这里插入图片描述
url后加上?what=flag

2、POST
在这里插入图片描述

在这里插入图片描述
GET与POST的区别
GET和POST是HTTP请求的两种基本方法
a:发送数据的位置不一样，一个在url中，一个在请求体中。
b:发送数据的大小不一样，get有限制，而post没有。
c:GET请求发送一次，POST请求发送两次。
d:GET会被浏览器进行主动缓存，而POST不会。

您可能感兴趣的与本文相关的镜像

Llama Factory

模型微调

LLama-Factory

LLaMA Factory 是一个简单易用且高效的大型语言模型（Large Language Model）训练与微调平台。通过 LLaMA Factory，可以在无需编写任何代码的前提下，在本地完成上百种预训练模型的微调

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

记录笔记

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

CTFweb篇——GET&POST

suiyideAli的博客

09-21

2万+

0x00 前言 1. 首先使用BurpSuite 抓取一个http文件进行分析 2. 左边为请求信息，右边为响应信息；请求信息有三部分组成，分别为请求行、请求头、和请求正文组成。响应信息也有三部分组成，分别为响应行、响应头、响应正文。 3. 首先可以看一下请求行 GET /index.php?tn=monline_3_dg HTTP/1.1 GET方法。GET方法用于获...

ctf.bugku-变量1

guanrongl的专栏

10-08

503

最后，最关键的是最后的$$args,这是可变变量的意思，如$args的值是另一个变量的变量名。所以我们就给args赋值一个变量名，PHP 中的许多预定义变量都是“超全局的”，这意味着它们在一个脚本的全部作用域中都可用。SERVER[是预定义服务器变量的一种，所有SERVER[是预定义服务器变量的一种，所有_SERVER [是预定义服务器变量的一种，所有_SERVER开头的都。/^开始, \w表示任意一个单词字符，即[a-zA-Z0-9_] ,+将前面的字符匹配一次或多次，$/结尾。中的代码的语法高亮版本。

参与评论您还未登录，请先登录后发表或查看评论

CTF Bugku POST

m0_50917178的博客

08-18

803

进入场景之后，出现了一串PHP源代码，可以看出本题和之前的GET题是一摸一样的。那么就是用POST方法将参数传过去就可以了。这里我用的是Python的requests库来构造的HTTP连接，如果有其它方法可以在评论区分享一下。 import requests url1 = 'http://114.67.246.176:17658/' a = requests.post(url1, {'what': 'flag'}) print(a.text) 运行结果为：得到了flag 本题总结：本题考察了PO.

CTF-Web入门-get_post

qq_28383747的博客

11-05

1692

本题考查HTTP的两种常见请求方法。对于get请求，可以直接在url后添加请求内容；对于post请求，一种快捷的方法是使用hackbar提供的post请求功能。

BugkuCTF POST

飞花的世界

01-25

904

http://123.206.87.240:8002/post/ flag 是 flagflag{bugku_get_ssseint67se}

CTF-WEB篇攻防世界题目实战解析 GET_POST

2301_76565920的博客

04-19

2442

题目：GET_POST 题目：1

Bugku---web---变量1

weixin_47450099的博客

04-28

1251

网络安全 Bugku---web---变量1

CTF-BUGKU-WEB（初级题）答题记录

优快云Jxxxx的博客

07-28

543

BUGKU-WEB 1.秋名山车神 import requests import re s = requests.Session() r = s.get("http://123.206.87.240:8002/qiumingshan/") searchObj = re.search(r'(\d+[+\-*])+(\d+)', r.text) d = { "value": eval(searchObj.group(0)) } r = s.post("http://123.206.87.240:

bugkuCTF---flag在index里

Glad you came

03-15

1549

题目来源：https://ctf.bugku.com/challenges 点击click me?no 之后url变成了这样出现了 file=show.php，说明可能有文件包含漏洞，所以构建url： http://123.206.87.240:8005/post/index.php?file=php://filter/read=convert.base64-encode/resour...

[Bugku] web-CTF靶场系列详解②！！！

muyuchen110的博客

08-01

737

平台为“山东安信安全技术有限公司”自研CTF/AWD一体化平台，部分赛题采用动态FLAG形式，避免直接抄袭答案。

BUGKU CTF——WEB基础 {GET,POST}

lulu001128的博客

11-28

528

BUGKU CTF——WEB基础 {GET,POST}解题过程

CTF Bugku GET

m0_50917178的博客

08-18

518

进入场景后看到一串PHP源代码根据这源代码的提示，很容易想到使用GET方法来传递what参数以此来满足条件语句。所以在地址栏里面构造如下：回车之后，what参数的值就传过去了，flag也就出来了本题总结：难度不大，提示的已经很明确了。本题就是专门训练GET方法的。只要明白GET方法在url里面的呈现形式就可以很容易的做出这道题来。 ...

20220129--CTF刷题-- WEB方向--get_post--- GET方法和POST方法结合的简单题

qq_51550750的博客

01-29

466

攻防世界-- WEB方向–新手场–第七题–get_post 攻防世界的网址：https://adworld.xctf.org.cn/ 更多CTF刷题网站可以参考博客：（刷题网站和自己可以搭建的网站汇总） https://blog.youkuaiyun.com/qq_51550750/article/details/122748075 ?a=1 POST DATA打勾：最后得到flag:cyberpeace{52a0a30288f0b6af8b5e0f0d8bb5923b} ...

Bugku CTF--GET

最新发布

2401_83809941的博客

03-19

283

题目：

BugkuCTF-WEB题GET和POST

am_03的博客

08-25

709

GET 开启场景：比较简单的get，构造payload?what=flag，得到flag POST 简单post，Firefox打开，F12弹出hackbar插件，添加post/what=flag，请求得到flag

[CTF] 攻防世界Web区题目：get_post（不用插件方式）

ZXW_NUDT的博客

11-01

1775

X老师告诉小宁同学HTTP通常使用两种请求方法，你知道是哪两种吗？这道题很简单，但重点在POST提交方式首先网址后面加上 /? a=1 接着就是POST提交方式提交“b=2” 这里不用插件！！！不用插件！！！不用插件！！！重要的事情说三次网上的都是用插件看一下怎么不用插件 win+r打开命令提示符输入 curl -d "b=2" -X POST http://111.200.XXX.XXX:XXXXX/?a=1 (哪里面是你得到提示那个页面的网址) 然后就可以得到flag了 ..

CTF之GET和POST

qq_74263993的博客

04-06

1071

学过php都知道就一个简单传参，构造payload:?what=flag得到。

CTF-Bugku-Web$_GET && $_POST基础

fzykn06的博客

03-22

1137

第一次在Bugku有点抓狂，挺多方法不会使用，导致做题很慢，哪怕是简单的题目都挺解，以后要多熟悉这些方法。首先先讲讲一些简单的签到题，十分的基础的题目。 web 2 http://123.206.87.240:8002/web2/ 这是一道有趣的签到题，答案只要在源码中就能找到，但是如果没想到找源码的话就有点麻烦，因为它是一个动态图，越看越晕。按F12查看源码就能找到flag啦~ 计算器 h...

ctf.bugku - POST

guanrongl的专栏

10-07

308

burpsuite中，把 GET请求改为POST请求，同时，增加一行报文体what=flag ，由于多了参数，还需要再增加报文头Content-Type: application/x-www-form-urlencoded。从这里可以得到信息；想要得到flag ，需要发送post请求，并且请求带有what参数，参数值为flag。访问请求，返回如下信息；

bugkuctf alert

01-26

### Bugku CTF 警报信息解析在Bugku平台上的CTF挑战中，存在特定的机制用于测试参赛者的Web安全技能。当面对文件包含漏洞时，可以通过构造特定的有效载荷来触发预期的行为。对于给定的情况，在处理PHP代码中的`$data = @file_get_contents($a, 'r')`语句时，如果目标是要读取并显示字符串“bugku is a nice platform!”，那么可以利用PHP伪协议`php://input`作为参数传递给变量$a[^1]。这允许攻击者通过POST请求注入自定义数据流，从而实现远程文件包含的效果。另外一种情况涉及到设置某些特定参数使得它们能够匹配预设条件。例如，让`a`和`c`以及组合形式`ac`等于字符串`flags`，并且另一个参数`fn`指向名为`flag.txt`的文件路径[^2]。这种情况下，服务器端逻辑可能被设计成响应这些特殊输入模式以揭示隐藏的内容或行为。还有一个有趣的实例是在身份验证过程中发现了标记为“小bug”的ID字段。经过多次尝试不同的登录方式之后，最终发现使用QQ号码登录会暴露用户的个人资料信息，包括ID和头像链接。进一步实验表明修改用户ID为“小bug”，并通过拦截HTTP请求篡改上传图片的数据包可以获得额外线索，进而获取到Flag[^3]。 ```python import requests def exploit_php_input(url): payload = {'a': 'php://input'} data = "bugku is a nice plateform!" response = requests.post(url, params=payload, data=data) return response.text def set_flag_parameters(url): params = { 'a': 'f', 'c': 'lags', # Note the typo to match exactly with mentioned condition. 'ac': 'flags', 'fn': 'flag.txt' } response = requests.get(url, params=params) return response.text def change_user_id_to_bug(url, session_cookie=None): headers = {} if session_cookie: headers['Cookie'] = f'session={session_cookie}' modified_data = {"id": "小bug"} response = requests.patch(f"{url}/profile", json=modified_data, headers=headers) return response.status_code == 200 and b'flag{' in response.content ```