【慧河网络安全组】Web基础和http协议培训题解

View-source 类:

例题1：view_source

题目链接

右键点击查看源码（点不动）
ctrl+u 发现flag

例题2：[BSidesCF 2019]Futurella

题目链接

我们看到图片中有{}字样，猜测为flag
查看源码试试

例题3：key究竟在哪里呢？

题目链接
查看源码，没有任何发现

抓个包试试

发送到repeater我们send一下，即可发现key

例题4：头等舱

题目链接

查看源码，也没有

抓个包，发送到repeater send一下

即可发现flag

前端绕过题:

例题1：disabled_button

题目链接
我们发现他给了一个按钮，但是我们按不动它
我们怀疑可能是前端设置了某些格式，F12试试

我们可以看到按钮这里有一个格式，将disabled删掉，再点击按钮，即可获得flag

例题2：计算器

题目链接

输入120试试

发现只能输入一个数字，F12查看源码

看到这里最大长度设置为1
我们修改成30试试

例题3：web3

题目链接


会发现一直有弹窗
我们查看网页源码试试（用view-source:网址方式）

会发现有一行注释，利用搜索引擎得知这是HTML字符实体，我
们用转换工具转换即得

HTTP字段分析

例题1：web基础$_GET

题目链接

我们用get方式传参 ?what=flag

例题2：web基础$_POST

用post方式传参
这里可以使用burp也可以使用hackbar
burp：抓包,右键发送到repeater 并右键更换请求模式

我们可以看到GET变成了POST，然后我们在最后一行（！注意一定要留意行空行！）输入我们要传入的内容 what=flag
send一下，即可得到flag

例题3：请求方式

看到要求使用CTF**B 方法，就会得到flag。
如果得到指示：HTTP Method Not Allowed的话，应该请求index.php。

我们用burpsuite抓包，得到内容如下

看到请求方式为GET，我们改成CTFHUB，send
成功得到flag

ctfhub{978a2b1142f3ba9323d39d9e}

例题4：key又找不到了

题目链接
打开网页看到这个，点击

发现如下字段
用burp抓包，发送到repeater

点击那个按钮，并抓包

发现出现了302 Found
还给出了一个新的地址，那我们进入这个地址
即可得到key

例题5：302跳转

点击Give me Flag没有反应,抓个包试试

例题6：Cookie

它说只有管理员才能得到flag，抓个包

将admin改成1试试

例题7：HAHA浏览器

抓个包

我们把火狐改成HAHA（手动狗头）耶_成功

例题8：种族歧视

抓个包
看到这里only for Foreigner 我们把语言改成en

欧耶~成功

例题9：本地管理员

我们随便输入一个用户名和密码试试，发现如上画面
抓个包

我们看到这里有一串注释，base64解码试试

我们在用户名和密码处分别输入 admin和test123，并且抓包

利用X-Forwarded-For（发送报文的真实ip地址）将地址设置为本地地址（127.0.0.1），即可得到flag

例题10：xff_referer

xff_referer

设置完之后，发现必须来自这个地址
欧耶，得到flag

HTTP字段综合题

例题1：[极客大挑战 2019]

查看源码试试

发现一个可疑链接，我们进入这个链接试试

显示它不来自这个网站，那我们抓个包设置一下referer

再设置一下浏览器

在设置一下本地地址

欧耶~成功，就是前几道题的一个综合而已 ~~