CTFHUB之WEB前置技能HTTP

HTTP协议

超文本传输协议(英文:HyperText Transfer Protocol,缩写:HTTP)是一种用于分布式、协作式和超媒体信息系统的应用层协议。HTTP是万维网的数据通信的基础。

这部分做题的前提是需要学会burpsuite的使用

一,请求方式

进入发现提示,使用CTFHUB即可获得flag

采用手动代理设置后进行抓包

CTFHUB之WEB前置技能HTTP_第1张图片

CTFHUB之WEB前置技能HTTP_第2张图片

然后send to repeater

使用repeater进行内容修改,将文本开头的GET改成CTFHUB,然后点击左上角的GO即可

CTFHUB之WEB前置技能HTTP_第3张图片

二,302跳转

抓包发现是.html文件,使用repeater将.html改成.php,点击go即可;

CTFHUB之WEB前置技能HTTP_第4张图片

三,cookie

抓包,点击Paramsadmin的值改为1,即为真,再forword即可;

四,基础认证

注意看是否有附件可供下载

CTFHUB之WEB前置技能HTTP_第5张图片

进入后点击click,随意输入用户名和密码后抓包

CTFHUB之WEB前置技能HTTP_第6张图片

发现是使用了base64加密规则

抓包送到decoder解码,发现为自己输入的密码和用户名

CTFHUB之WEB前置技能HTTP_第7张图片

因此使用提供的字典进行爆破

进入intruder模块,在Positions中进行标记

CTFHUB之WEB前置技能HTTP_第8张图片

PayloadsPayload Options中选择刚刚下载的附件

CTFHUB之WEB前置技能HTTP_第9张图片

然后在PayloadsPayload Processing中使用Add-Prefix输入用户名,注意加冒号,如:admin:

CTFHUB之WEB前置技能HTTP_第10张图片

 然后Add-Encode选择base64

CTFHUB之WEB前置技能HTTP_第11张图片

 CTFHUB之WEB前置技能HTTP_第12张图片

进行爆破

寻找到异常值后进行解码即可

CTFHUB之WEB前置技能HTTP_第13张图片

 CTFHUB之WEB前置技能HTTP_第14张图片

 回到页面输入CTFHUB之WEB前置技能HTTP_第15张图片

 CTFHUB之WEB前置技能HTTP_第16张图片

五,响应包源代码

查看源代码方法:

  1. 直接F12;

  2. 在url前添加view-source:;

  3. 直接右键查看

  4. 使用burp进行抓包查看。

CTFHUB之WEB前置技能HTTP_第17张图片

你可能感兴趣的:(CTF,安全,web安全)