@highKer1年前

08/4
23:24
笔记

ctf中web的入门套路

本文章仅供自己作为笔记以及为没接触过web的童鞋查阅,请大佬们移步~

 

基础篇

  • 套路一:查看源代码

示例链接

直接右击查看源代码

  • 套路二:修改request

示例链接一

Accept-Language修改为非中文

示例链接二

User-Agent里写一个HAHA浏览器

示例链接三

根据题目提示修改User-Agent,添加使用ie浏览器以及.net framework9.9框架以及在Accept-Language里修改为英语

  • 套路三:查response

示例链接一

burpsuite抓包,用repeater发包,查看response,发现key字段

示例链接二

burpsuite抓包,repeater发包,在response里可以看到Content-Row字段,将该字段的值提交,得到flag

  • 套路四:js代码混淆

示例链接

看似无意义的字符串仍具有js代码的本质,直接F12console中粘贴回车执行

  • 套路五:简单的ip伪造

示例链接

request包的header里添加x-forwarded-forclient-ip等字段,值为欲伪造的ip

  • 套路六:简单的审查元素

示例链接

F12修改maxlength,直接提交

  • 套路七:简单的信息泄露

示例链接

直接找robots.txt,其作用是拒绝搜索引擎的抓取,然而也会泄露本身的信息

  • 套路八:cookie修改

示例链接一

chrome有款好用的插件叫EditThisCookie,可在该插件中发现login字段,直接将值修改为1

示例链接二

根据题目提示“Guess Next Session”,清掉所有cookie,刷新发起下一次会话

ctf中web的入门套路