web中的post、get传参

  CTF比赛中web题型里经常会见到post和get传参的题型,原理也很简单,在get传参的时候,要构造URL拿一道BugKu中的题来举个例子
web中的post、get传参_第1张图片
很明显,只需要构造what=get,回车,即可得到答案。
在post传参的时候,也是看一下代码要求,例如:
web中的post、get传参_第2张图片
  显然,只需要构造what=flag即可得到flag。但是这个地方要用到火狐浏览器中的一个插件——hackbar,新版火狐中没有hackbar但是有new hackbar。安装好了以后,F9控制此插件开启关闭。再有就是传参过程中稍微有难度需要读懂代码的一个进阶题型,例如
web中的post、get传参_第3张图片
  这个也是get传参的一个题型,但是这个代码好像稍微有点复杂,但是只要我们知道他是什么意思,还是一样轻松。
Bool is_numeric(mixed $var)
  如果 var 是数字和数字字符串则返回 TRUE,否则返回 FALSE。
则!is_numeric($num)意思为 num不是数字或是数字字符串,但是,代码中又有num=1的字样代表是字符1,这也就是题目矛盾的意思了。所以我们构造参数的话要考虑num既要等于1又不能全是数字,所以构造参数num=1e1,问题就解决了。

你可能感兴趣的:(CTF,WriteUp,web)