CTFHub:web前置技能-HTTP协议-请求方式篇

最新推荐文章于 2025-02-21 02:13:28 发布
最新推荐文章于 2025-02-21 02:13:28 发布
阅读量977 收藏 14
点赞数 15
分类专栏: CTFHub学习指南 #CTFHub-web前置技能-HTTP协议 文章标签: http 网络协议 网络 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wdnmddbl/article/details/139496779
版权

CTFHub个人学习记录

第二章:web前置技能-HTTP协议-请求方式篇

文章目录

前言

路漫漫其修远兮,吾将上下而求索。
本文涉及以下知识点,去引用文章学习即可:
https://www.runoob.com/http/http-methods.html
https://www.runoob.com/http/http-tutorial.html

一、解题过程

1.首先访问靶机页面并翻译,如下图所示:

意思就是:http的请求方式是GET,把请求方式换成CTFHUB 就会给你flag。 打开burpsuite 开启拦截,同时刷新你的浏览器界面,bp已成功拦截。 更改请求方式

2.使用burp suite抓包工具更改请求方式为CTFHUB,Forward即可得到flag,如下图所示:

修改get请求为CTFHUB

3.返回靶机界面,得到flag提交即可,如下图所示:

盯

总结

大概思路和涉及的知识点(这里我一律复制网上师傅总结的即可,网上的师傅们总结的很完美,我就不东施效颦)

题目描述为“请求方式”
HTTP的请求方式共有八种
1、OPTIONS
返回服务器针对特定资源所支持的HTTP请求方法,也可以利用向web服务器发送‘*’的请求来测试服务器的功能性
2、HEAD
向服务器索与GET请求相一致的响应,只不过响应体将不会被返回。这一方法可以再不必传输整个响应内容的情况下,就可以获取包含在响应小消息头中的元信息。
3、GET
向特定的资源发出请求。注意:GET方法不应当被用于产生“副作用”的操作中,例如在Web Application中,其中一个原因是GET可能会被网络蜘蛛等随意访问。Loadrunner中对应get请求函数:web_link和web_url
4、POST
向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。 Loadrunner中对应POST请求函数:web_submit_data,web_submit_form
5、PUT
向指定资源位置上传其最新内容
6、DELETE
请求服务器删除Request-URL所标识的资源
7、TRACE
回显服务器收到的请求,主要用于测试或诊断
8、CONNECT
HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。
注意:
1)方法名称是区分大小写的,当某个请求所针对的资源不支持对应的请求方法的时候,服务器应当返回状态码405(Mothod Not Allowed);当服务器不认识或者不支持对应的请求方法时,应返回状态码501(Not Implemented)。
2)HTTP服务器至少应该实现GET和HEAD/POST方法,其他方法都是可选的,此外除上述方法,特定的HTTP服务器支持扩展自定义的方法。
思路:
根据题目意思,我们需要以CTF**B为请求方式,才能拿到flag
与上面8种对比,发现没有这种请求方式,平台名为ctfhub,于是猜想请求方式是不是ctfhub,然后使用bp抓包如本文更改请求方式即可

CTFHUB-Http协议
2301_80955789的博客
04-01 1183
一般这个模式下只设置一个爆破点,因为如果用户名和密码都不知道的情况下不会使用该模式去爆破。并且一般按照payload少的执行,如payload1设置10个,payload2设置9个,就执行9次。如果爆破点设置一个,payload设置10个,就执行10次;无论爆破点设置几个,payload1设置10个,payload2设置10个,就执行10次。同时爆破被§标志的爆破点,爆破点1指定payload1,爆破点2指定payload2。payload1设置10个,payload2设置9个,就执行10*10=90次。
CTFHUB-WEB前置技能-HTTP协议-请求方式
K_ShenH的博客
06-08 2418
CTFHUB-WEB前置技能-HTTP协议-请求方式
CTFHub——web
最新发布
2301_80652627的博客
02-21 945
在截断变更请求方法,将GET改为CTFHUB (原因:CTF*B实际上是指CTFHUB,在某些CTF比赛中,题目可能会提示使用特定的HTTP方法来获取flag,而这里的CTFB就是指CTFHUB这种自定义的HTTP方法。在这种认证方式中,客户端将用户名和密码拼接成。打开环境,看见一堆后缀名,好像也没什么用,感觉可以用蚁剑连一下,没做出来,然后上网看见可以用dirsearch做,试了一下。取消有效载荷编码的✔️,点击开始攻击,会看到一个的状态和其他的不同查看它的响应,即可获得flag。
CTF基础知识——HTTP/1.1 请求方法
fatmoForE
01-28 5822
HTTP请求的方法: HTTP/1.1协议中共定义了八种方法(有时也叫“动作”),来表明Request-URL指定的资源不同的操作方式 HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法。 HTTP1.1新增了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法 1、OPTIONS 返回服务器针对特定资源所支持的HTTP请求方法,也可以利用向web服务器发送‘*’的请求来测试服务器的功能性 2、HEAD 向服务器索与GET请求相一致的响应,只.
关于HTTP的8种请求方法
DX_Jone的博客
09-05 2189
关于HTTP请求方法中的8种请求方法(简单介绍) HTTP是超文本传输协议,其定义了客户端与服务器端之间文本传输的规范。HTTP默认使用80端口,这个端口指的是服务端的端口,而客户端使用的端口是动态分配的。当我们没有指定端口访问时,浏览器会默认帮我们添加80端口。我们也可以自己指定访问端口如:http://www.ip138.com:80。 需要注意的是,现在大多数访问都使用了HTTPS协议,而H...
http协议中,“get”和“post”的区别是什么
weixin_33804990的博客
08-23 811
GET在浏览器回退时是无害的,而POST会再次提交请求。GET产生的URL地址可以被Bookmark,而POST不可以。GET请求会被浏览器主动cache,而POST不会,除非手动设置。GET请求只能进行url编码,而POST支持多种编码方式。GET请求参数会被完整保留在浏览器历史记录里,而POST中的参数不会被保留。GET请求在URL中传送的参数是有长度限制的,而POST么有。对参数的数据类型,...
HTTP协议——请求格式及方法
热门推荐
学习、思考、分享
08-22 2万+
一、HTTP请求格式 当浏览器向Web服务器发出请求时,它向服务器传递了一个数据块,也就是请求信息,HTTP请求信息由3部分组成: ① 请求方法 URI 协议/版本 ② 请求头(Request Header) ③ 请求正文 下面是一个HTTP请求的例子: GET/sa
CTFHUB-WEB前置技能-HTTP协议-Cookie
K_ShenH的博客
06-09 980
CTFHUB-WEB前置技能-HTTP协议-Cookie
CTFHUB-WEB前置技能-HTTP协议-302跳转
K_ShenH的博客
06-08 1154
CTFHUB-WEB前置技能-HTTP协议-302跳转
CTFHub Web Web前置技能+信息泄露
m0_51150495的博客
06-30 1129
目录一、Web前置技能1.HTTP协议请求方式 302跳转 Cookie 基础认证 响应包源代码 二、信息泄露1.目录遍历 2.PHPINFO 3.备份文件下载网站源码 bak文件 vim缓存 .DS_Store 4.Git泄露Log Stash Index5.SVN泄露 6.HG泄露在开启题目后看到出现的链接,提示我们现在所使用的HTTP请求方式为GET方式,需要将请求方式修改为CYF**B来获取flag 我们刷新这个提示页面进行抓包,得到请求方式确实为GET 将数据包发送到Repeater,将GET修改
CTFHub Web前置技能 http协议
liver100day的博客
10-08 482
CTFHub Web前置技能 http协议 1.请求方式 在做这道题之前,我们需要先了解一下前置的知识,理解http协议中的八种基础请求方式,其中最重要最常见的为:GET和POST 1、OPTIONS 返回服务器针对特定资源所支持的HTTP请求方法,也可以利用向web服务器发送‘*’的请求来测试服务器的功能性 2、HEAD 向服务器索与GET请求相一致的响应,只不过响应体将不会被返回。这一方法可以再不必传输整个响应内容的情况下,就可以获取包含在响应小消息头中的元信息。 3、GET 向特定的资源发出请求。注意
HTTP 请求方法
01-08
HTTP 请求方法 根据 HTTP 标准,HTTP 请求可以使用多种请求方法。 HTTP1.0 定义了三种请求方法: GET, POST 和 HEAD方法。 HTTP1.1 新增了六种请求方法:OPTIONS、PUT、PATCH、DELETE、TRACE 和 CONNECT 方法。 序号 方法 描述 1 GET 请求指定的页面信息,并返回实体主体。 2 HEAD 类似于 GET 请求,只不过返回的响应中没有具体的内容,用于获取报头 3 POST 向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。POST 请求可能会导致新的资源的建立和/或已有资
ctfhub 请求方式
2202_75317918的博客
03-13 827
ctfhub 请求方式
两分钟了解HTTP/1.1 协议中的8种请求方法
Destiny_shine的博客
11-25 4048
HTTP/1.1 协议中的请求方法 1、GET    用来从服务器上获取数据。指定的资源经服务器端解析后返回响应内容。GET请求的数据会附在URL后面。 2、POST    用于发送包含用户提交数据的请求,有可能对服务器的数据进行更改。POST的数据放在HTTP包体。 3、PUT    向指定资源位置上传其最新内容。就像 FTP 协议的文件上传一样,要求在请求报文的主体中包含文件内容,然后保存到请求 URI 指定的位置 4、DELETE    删除文件,是与 PUT 相反的方法。DELETE 方法按请求 U
CTFHub-技能-HTTP协议-请求方式
pakho_C的博客
02-20 2019
打开靶场 得到提示,如果请求方法为CTFHUB,那么会得到flag 使用burp抓包进行修改GET为CTFHUB,得到flag 方法二: 可以使用curl命令进行指定方式的请求 curl 命令详解 payload: curl -v -X CTFHUB 网址 -v表示输出信息 -X表示使用指定的方式请求目标网站 ...
关于HTTP的请求方法
Apeopl的博客
01-17 494
HTTP/1.1协议使用URI定位互联网上的资源,正是因为URI的特定功能,在互联网任意位置的资源都能访问到。HTTP的请求方法有如下几种: 1、GET:获取资源。GET方法用来请求访问已被URI识别的资源,指定的资源经服务端解析后返回响应内容。如果请求的资源是文 本,那就保持原样返回;如果是像CGI那样的程序,那返回经过执行后的输出结果。 2、POST:传输实体主体。虽然GET也可以传输实
CTFHub-http协议-请求方式
yuqie的博客
03-31 326
CTFHub-http协议-请求方式
CTFHub web题目web前置技能
01-02
### CTFHub Web 题目所需前置技能和知识要点 #### HTML 和 CSS 基础 掌握HTML (超文本标记语言) 和CSS (层叠样式表),这是构建网页的基础。理解如何创建结构化的文档以及应用样式来美化页面是必要的[^1]。 ```html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Document</title> <style> body { background-color: lightblue; } </style> </head> <body> </body> </html> ``` #### JavaScript 编程 JavaScript 是一种用于实现网站交互功能的重要脚本语言。熟悉DOM操作、事件处理程序、AJAX请求等概念有助于解决许多Web挑战中的动态内容问题。 ```javascript document.getElementById('myButton').addEventListener('click', function() { alert('Button clicked!'); }); ``` #### HTTP 协议原理 深入理解HTTP协议的工作机制,包括GET/POST方法的区别、状态码的意义、头部信息的作用等内容,在分析服务器响应时非常有用。 #### SQL 注入攻击防范 SQL注入是一种常见的安全漏洞利用方式。学习如何通过参数化查询等方式防止此类攻击的发生对于完成涉及数据库管理系统的题目至关重要。 #### XSS 跨站脚本攻击防护措施 XSS允许攻击者向网页中插入恶意代码并执行。了解不同类型的跨站点脚本攻击及其防御手段可以辅助解答有关输入验证不足的任务。 #### 文件包含漏洞识别与修复 无论是本地还是远程文件包含错误都可能导致敏感数据泄露或其他严重后果。能够判断是否存在这种风险点并且采取适当的方法加以规避是非常重要的能力之一。 #### PHP 或 Python 后端开发基础 部分CTF竞赛可能会涉及到后端编程逻辑的理解或逆向工程。因此具备一定的PHP或者Python等相关服务端技术背景也是有益处的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值