对于bugku中有“post”解法以及hackbar插件的理解

“$_POST”解法

在初学安全而且已经写了一部分BugkuCTF中web的一部分题以后发现对于有“get”和“post"的不同。

这是一个关于“get"的题，根据代码构造下做一个代码请求就可以出现flag了

这是一个“post”的题，咋一看和“get”相似，但是做了一个代码请求发现不对。

去问了一下度娘，get和post是HTTP与服务器交互的方式，get是获取数据，post是修改数据。而想要写出这个题，可以利用常用的方法：“burp抓包，改包，报头改为POST，结尾加上参数what=flag”。也可以在浏览器上下载hackbar插件（只用于火狐浏览器），这个可以省去操作burp的时间。

hackbar插件使用教程

1.SQL：提供三种数据库的sql查询语句，以及一些方便联合查询的语句
2.XSS：提供xss攻击语句
1）string.fromcharcode()：将根据UNICODE 值来输出xss语句
2）html charactor ： 将XSS语句转化为HTML字符实体（以&开头）
3）alert xss: 构建一条xss测试语句，弹出一个框内容为xss，相当于alert(‘xss’)。
3.Encryption：对所选字符进行加密，提供了MD5，SHA-1，SHA-256，ROT13等加密方式。
4.Encoding：对所选字符进行编码解码，提供了Base64Encode，Base64Decode,URLencode,URLdecode,
HEX encode, HEX decode等方式。

对于编码解码以及加密较为方便，不用在线找常见的编码器。SQL和XSS还没有用过不知方便与否。