CTFhub入門（一）web前置技能-http協議

首先是web入門。

web前置技能-http協議

1."請求方式"

題目信息：

HTTP 請求方法, HTTP/1.1協議中共定義了八種方法（也叫動作）來以不同方式操作指定的資源。

HTTP Method is GET
Use CTF**B Method, I will give you flag.
Hint: If you got 「HTTP Method Not Allowed」 Error, you should request index.php.
分析：
本題中提示使用http中的CTF**B方法訪問該環境即可獲得flag。http方法可以自定義名稱，且區分大小寫，所以CTF**B需要嘗試確認"hu"的大小寫，同時如何用特定http方法訪問某個url呢？WP采用了curl工具。
已知環境地址：
http://challenge-beb8bdebb0d332be.sandbox.ctfhub.com:10800/index.php
則采用如下語法：
curl -v -X CTFHUB http://challenge-beb8bdebb0d332be.sandbox.ctfhub.com:10800/index.php
即可得到flag：ctfhub{6c76e2d89428d193f341ac6c}
以下是響應內容：

點擊查看代碼

* Trying 47.98.148.7...
* TCP_NODELAY set
* Connected to challenge-beb8bdebb0d332be.sandbox.ctfhub.com (47.98.148.7) port 10800 (#0)
> CTFHUB /index.php HTTP/1.1
> Host: challenge-beb8bdebb0d332be.sandbox.ctfhub.com:10800
> User-Agent: curl/7.55.1
> Accept: /
>
< HTTP/1.1 200 OK
< Server: openresty/1.19.3.2
< Date: Fri, 14 Jan 2022 04:56:39 GMT
< Content-Type: text/html; charset=UTF-8
< Transfer-Encoding: chunked
< Connection: keep-alive
< X-Powered-By: PHP/5.6.40
< Access-Control-Allow-Origin: *
< Access-Control-Allow-Headers: X-Requested-With
< Access-Control-Allow-Methods: *
<
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8"/>
<title>CTFHub HTTP Method
</head>
<body>
good job! ctfhub{6c76e2d89428d193f341ac6c}
</body>
</html>
* Connection #0 to host challenge-beb8bdebb0d332be.sandbox.ctfhub.com left intact

Curl:"clients for URL"
以下為摘自"Wayne ZHU"大佬博客的curl命令說明：
Curl命令

-a/--append 上傳文件時，附加到目標文件  
 -A/--user-agent <string>  設置用戶代理發送給服務器  
 --anyauth   可以使用“任何”身份驗證方法  
 -b/--cookie <name=string/file> cookie字符串或文件讀取位置  
 --basic 使用HTTP基本驗證  
 -B/--use-ascii 使用ASCII /文本傳輸  
 -c/--cookie-jar <file> 操作結束后把cookie寫入到這個文件中  
 -C/--continue-at <offset>  斷點續轉  
 -d/--data <data>   HTTP POST方式傳送數據  
 --data-ascii <data>  以ascii的方式post數據  
 --data-binary <data> 以二進制的方式post數據  
 --negotiate     使用HTTP身份驗證  
 --digest        使用數字身份驗證  
 --disable-eprt  禁止使用EPRT或LPRT  
 --disable-epsv  禁止使用EPSV  
 -D/--dump-header <file> 把header信息寫入到該文件中  
 --egd-file <file> 為隨機數據(SSL)設置EGD socket路徑  
 --tcp-nodelay   使用TCP_NODELAY選項  
 -e/--referer 來源網址  
 -E/--cert <cert[:passwd]> 客戶端證書文件和密碼 (SSL)  
 --cert-type <type> 證書文件類型 (DER/PEM/ENG) (SSL)  
 --key <key>     私鑰文件名 (SSL)  
 --key-type <type> 私鑰文件類型 (DER/PEM/ENG) (SSL)  
 --pass  <pass>  私鑰密碼 (SSL)  
 --engine <eng>  加密引擎使用 (SSL). "--engine list" for list  
 --cacert <file> CA證書 (SSL)  
 --capath <directory> CA目錄 (made using c_rehash) to verify peer against (SSL)  
 --ciphers <list>  SSL密碼  
 --compressed    要求返回是壓縮的形勢 (using deflate or gzip)  
 --connect-timeout <seconds> 設置最大請求時間  
 --create-dirs   建立本地目錄的目錄層次結構  
 --crlf          上傳是把LF轉變成CRLF  
 -f/--fail          連接失敗時不顯示http錯誤  
 --ftp-create-dirs 如果遠程目錄不存在，創建遠程目錄  
 --ftp-method [multicwd/nocwd/singlecwd] 控制CWD的使用  
 --ftp-pasv      使用 PASV/EPSV 代替端口  
 --ftp-skip-pasv-ip 使用PASV的時候,忽略該IP地址  
 --ftp-ssl       嘗試用 SSL/TLS 來進行ftp數據傳輸  
 --ftp-ssl-reqd  要求用 SSL/TLS 來進行ftp數據傳輸  
 -F/--form <name=content> 模擬http表單提交數據  
 -form-string <name=string> 模擬http表單提交數據  
 -g/--globoff 禁用網址序列和范圍使用{}和[]  
 -G/--get 以get的方式來發送數據  
 -h/--help 幫助  
 -H/--header <line>自定義頭信息傳遞給服務器  
 --ignore-content-length  忽略的HTTP頭信息的長度  
 -i/--include 輸出時包括protocol頭信息  
 -I/--head  只顯示文檔信息
 -j/--junk-session-cookies 讀取文件進忽略session cookie  
 --interface <interface> 使用指定網絡接口/地址  
 --krb4 <level>  使用指定安全級別的krb4  
 -k/--insecure 允許不使用證書到SSL站點  
 -K/--config  指定的配置文件讀取  
 -l/--list-only 列出ftp目錄下的文件名稱  
 --limit-rate <rate> 設置傳輸速度  
 --local-port<NUM> 強制使用本地端口號  
 -m/--max-time <seconds> 設置最大傳輸時間  
 --max-redirs <num> 設置最大讀取的目錄數  
 --max-filesize <bytes> 設置最大下載的文件總量  
 -M/--manual  顯示全手動  
 -n/--netrc 從netrc文件中讀取用戶名和密碼  
 --netrc-optional 使用 .netrc 或者 URL來覆蓋-n  
 --ntlm          使用 HTTP NTLM 身份驗證  
 -N/--no-buffer 禁用緩沖輸出  
 -o/--output 把輸出寫到該文件中  
 -O/--remote-name 把輸出寫到該文件中，保留遠程文件的文件名  
 -p/--proxytunnel   使用HTTP代理  
 --proxy-anyauth 選擇任一代理身份驗證方法  
 --proxy-basic   在代理上使用基本身份驗證  
 --proxy-digest  在代理上使用數字身份驗證  
 --proxy-ntlm    在代理上使用ntlm身份驗證  
 -P/--ftp-port <address> 使用端口地址，而不是使用PASV  
 -Q/--quote <cmd>文件傳輸前，發送命令到服務器  
 -r/--range <range>檢索來自HTTP/1.1或FTP服務器字節范圍  
 --range-file 讀取（SSL）的隨機文件  
 -R/--remote-time   在本地生成文件時，保留遠程文件時間  
 --retry <num>   傳輸出現問題時，重試的次數  
 --retry-delay <seconds>  傳輸出現問題時，設置重試間隔時間  
 --retry-max-time <seconds> 傳輸出現問題時，設置最大重試時間  
 -s/--silent靜音模式。不輸出任何東西  
 -S/--show-error   顯示錯誤  
 --socks4 <host[:port]> 用socks4代理給定主機和端口  
 --socks5 <host[:port]> 用socks5代理給定主機和端口  
 --stderr <file>  
 -t/--telnet-option <OPT=val> Telnet選項設置  
 --trace <file>  對指定文件進行debug  
 --trace-ascii <file> Like --跟蹤但沒有hex輸出  
 --trace-time    跟蹤/詳細輸出時，添加時間戳  
 -T/--upload-file <file> 上傳文件  
 --url <URL>     Spet URL to work with  
 -u/--user <user[:password]>設置服務器的用戶和密碼  
 -U/--proxy-user <user[:password]>設置代理用戶名和密碼  
 -v/--verbose  
 -V/--version 顯示版本信息  
 -w/--write-out [format]什么輸出完成后  
 -x/--proxy <host[:port]>在給定的端口上使用HTTP代理  
 -X/--request <command>指定什么命令  
 -y/--speed-time 放棄限速所要的時間。默認為30  
 -Y/--speed-limit 停止傳輸速度的限制，速度時間'秒  
 -z/--time-cond  傳送時間設置  
 -0/--http1.0  使用HTTP 1.0  
 -1/--tlsv1  使用TLSv1（SSL）  
 -2/--sslv2 使用SSLv2的（SSL）  
 -3/--sslv3         使用的SSLv3（SSL）  
 --3p-quote      like -Q for the source URL for 3rd party transfer  
 --3p-url        使用url，進行第三方傳送  
 --3p-user       使用用戶名和密碼，進行第三方傳送  
 -4/--ipv4   使用IP4  
 -6/--ipv6   使用IP6  
 -#/--progress-bar 用進度條顯示當前的傳送狀態
————
后置：
-v  顯示詳細信息（verbose縮寫），包括IP解析過程
-i  顯示頭信息
-I  只顯示頭信息

還有來自另一位大佬的curl命令分析：https://cloud.tencent.com/developer/article/1718259

Hint：部分命令效果（如進度條）只在Linux下有用
————
除了curl工具，嘗試使用burp suite解出這題。
來自大佬"Waffle666"提供的burp suite教程:https://blog.csdn.net/Waffle666/article/details/111083913
簡單設置完本地服務器后，刷新環境頁面，抓到經過本地代理的包后得到如下內容

將左上的GET方法改為CTFHUB后將包放過去。

得到flag！
Hint：每次打開代理服務器后都需要保存才能生效。

2."302跳轉"

題目信息

HTTP臨時重定向

分析
單擊"Give Me Flag"留意上方網址跳轉到/index.html，推測存在flag.txt文件，發現仍在/index.html，用burp抓包后發至Repeater，查看反應

發現存在302跳轉，得到flag
嘗試用curl訪問，發現直接讀取到flag

也許是因為302為瀏覽器自身的功能設置，而curl並無此功能
附狀態碼對應狀態：

3."Cookie"

題目信息
Cookie欺騙、認證、偽造

hello guest. only admin can get flag.
分析
抓包后觀察HTTP請求發現請求頭部中cookie字段存在"admin=0",將其修改為"admin=1"后發送,得到flag。

4."基礎認證"

題目信息
在HTTP中，基本認證（英語：Basic access authentication）是允許http用戶代理（如：網頁瀏覽器）在請求時，提供 用戶名 和 密碼 的一種方式。詳情請查看 https://zh.wikipedia.org/wiki/HTTP基本認證

分析
下載附件后發現是psw字典，推測需要字典爆破用戶認證，發送登錄信息並抓包。
在基礎認證中，Basic內容為："用戶名:密碼"的base64形式，但用戶名未知，先嘗試用"123""321"登錄並抓包，查看響應后發現提示:"do u know admin?"。推測admin為用戶名，利用burp suite的intruder進行爆破，這里需要我們添加"admin:"的前綴並爆破密碼部分，由於base64的編碼特性"admin:"為6位，恰好可完整編碼，直接編碼后作為前綴是理論可行的;使用"payloadprogressing"中的prefix添加前綴更為嚴謹，再添加base64的編碼，就能起到先加前綴再整體編碼的效果，對於一些編碼結果同時受前后影響的編碼形式真正有效。此處需取消勾選url編碼，因為base64中存在"="。爆破結果中發現狀態為200的響應，解碼basic后的內容得到密碼，登錄后得到flag。
(雖然但是，我前幾次爆破都不出結果，后幾次不知道為什么又能出結果，中間爆破設置是一樣的...)

5."相應包源代碼"

題目信息
HTTP響應包源代碼查看

分析
進行一個貪吃蛇的玩，居然不是上下左右控制而是wasd控制，奇怪的刷新速度讓人控制不好轉向的節奏，最后105分死於貪心。題目提示HTTP相應包源碼查看，但是用repeater查看相應發現只是表示頁面未更新的304狀態碼，無其他有用信息，在頁面中直接F12查看網頁源碼，發現注釋中有flag。(順便偷一個源碼看看貪吃蛇怎么寫的=9=)