CTFhub技能树-Web-HTTP

呆呆雪鹅 2024-08-30 17:33:01 阅读 85

目录

0x01 请求方式0x02 302跳转0x03 Cookie0x04 基础认证0x05 响应包源代码

在这里插入图片描述

0x01 请求方式

HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。

题目:

HTTP Method is GET

Use CTF**B Method, I will give you flag.

Hint: If you got 「HTTP Method Not Allowed」 Error, you should request index.php.

WriteUp:

使用Burp把GET请求换成CTFHUB就可以了

在这里插入图片描述

结果:good job! ctfhub{490bf2dda15949f02c62e6db}

flag:

ctfhub{490bf2dda15949f02c62e6db}

0x02 302跳转

HTTP临时重定向

题目:

<code><html>

<head>

<title>No Flag here!</title>

</head>

<body>

<center>

<h1>No Flag here!</h1>

<a href="index.php">Give me Flag</a>code>

</center>

</body>

</html>

WriteUp:

直接抓包,在Repeater中查看响应包

在这里插入图片描述

flag:

ctfhub{a2d746fd7ff70f12712b5673}

0x03 Cookie

Cookie欺骗、认证、伪造

题目:

hello guest. only admin can get flag.

WriteUp:

抓包<code>admin=0直接改为admin=1

在这里插入图片描述

flag:

ctfhub{23309bc9431806ec80b1a1f0}

0x04 基础认证

在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证

题目:

<code><html>

<head>

<meta charset="UTF-8"/>code>

<title>Basic Auth</title>

</head>

<body>

<h1>CTFHub 基础认证</h1>

<div>

Here is your flag: <a href="/flag.html">click</a>code>

</div>

</body>

</html>

点击需要输入用户名密码

WriteUp:

抓包得到一个提示:Do u know admin ?

在这里插入图片描述

推测账户是<code>admin,需要爆破密码,Authorization:Basic字段后是账户:密码的Base64形式

在Payload设置选项卡加载密码字典

在这里插入图片描述

在Payload处理选项卡添加前缀和Base64编码,取消勾选Payload编码选项卡中的URL编码字符,否则<code>=会被编码成%3d

在这里插入图片描述

破解出来:<code>YWRtaW46MTIzNDU2Nzg5MA==,解码后admin:1234567890

在这里插入图片描述

查看响应包里得到flag

在这里插入图片描述

flag:

ctfhub{d3133ff5e3d840d2ef3a3a3d}

0x05 响应包源代码

HTTP响应包源代码查看

题目:

一个贪吃蛇的游戏

WriteUp:

抓包查看响应包里的源代码,或者直接右键查看源代码

在这里插入图片描述

flag:

ctfhub{08e2cb511d210c927280d9ab}



声明

本文内容仅代表作者观点,或转载于其他网站,本站不以此文作为商业用途
如有涉及侵权,请联系本站进行删除
转载本站原创文章,请注明来源及作者。