web安全之快速反弹 POST 请求
在 CTF Web 的基础题中,经常出现一类题型:在 HTTP 响应头获取了一段有效期很短的 key 值后,需要将经过处理后的 key 值快速 POST 给服务器,若 key 值还在有效期内,则服务器返回最终的 flag,否则继续提示“请再加快速度!!!”
如果还执着于手动地获取 key 值,复制下来对其进行处理,最后用相应的工具把 key 值 POST 给服务器,那么对不起,因为 key 值的有效期一般都在 1 秒左右,除非有单身一百年的手速,否则不要轻易尝试。显然,这类题不是通过纯手工完成的,幸好 Python 提供了简单易用、功能强大的 HTTP 第三方开源库 Requests,帮助我们轻松解决关于 HTTP 的大部分问题。
代码如下:
只需要再用时把url改一下就好
import requests
import re
url = "http://xuenixiang.cn:22496/"
s = requests.Session()#保持客户端与服务器之间的回话
r = s.get(url)
expression = re.search(r'(\d+[\+\-\*])+(\d+)', r.text).group()#用正则表达式提出要计算的表达式
expr_value = eval(expression)#计算表达式的值
data = {'value': expr_value}
print(s.post(url,data).text)#发送post请求
0x01 Python Requests
关于 Requests 库的详细功能请见官方文档,本文只列出解题中需要用到的部分功能。
安装并导入 requests 模块
在安装了 Python 的终端下输入以下命令安装 requests:
$ pip install requests
安装完使用以下命令导入 requests:
>>> import requests
发送 GET 请求与 POST 请求
以 Github 官网为例,对其发起 GET 请求;
>>> r = requests.get('https://github.com/')
对其发起 POST 请求:
>>> r = requests.post('https://github.com/')
查看请求头
对 Github 官网发起请求,以查看 GET 请求的请求头为例,POST 请求同理:
- >>> r = requests.get('https://github.com/')
- >>> r.request.headers
- {'Connection': 'keep-alive', 'Accept-Encoding': 'gzip, deflate',...
查看请求头的某一属性:
- >>> r.request.headers['Accept-Encoding']
- 'gzip, deflate'
查看响应头
对 Github 官网发起请求,以查看 GET 请求的响应头为例,POST 请求同理:
- >>> r = requests.get('https://github.com/')
- >>> r.headers
- {'Status': '200 OK', 'Expect-CT': 'max-age=2592000, report-uri=...
查看响应头的某一属性:
- >>> r.headers['Status']
- '200 OK'
查看响应内容
对 Github 官网发起请求,查看服务器返回页面的内容,以查看 GET 请求的响应内容为例,POST 请求同理:
- >>> r = requests.get('https://github.com/')
- >>> r.text
- u'\n\n\n\n\n\n<!DOCTYPE html>\n<html lang="en">\n <head>\n <meta charset="utf-8">\n...
传递 GET 请求参数
GET 请求参数作为查询字符串附加在 URL 末尾,可以通过 requests.get()
方法中的 params
参数完成。例如,我要构建的 URL 为 https://github.com/?username=ciphersaw&id=1
,则可以通过以下代码传递 GET 请求参数:
- >>> args = {'username': 'ciphersaw', 'id': 1}
- >>> r = requests.get('https://github.com/', params = args)
- >>> print(r.url)
- https://github.com/?username=ciphersaw&id=1
其中 params
参数是 dict
类型变量。可以看到,带有请求参数的 URL 确实构造好了,不过注意,这里的 username
和 id
是为了说明问题任意构造的,传入 Github 官网后不起作用,下同。
传递 POST 请求参数
POST 请求参数以表单数据的形式传递,可以通过 requests.post()
方法中的 data
参数完成,具体代码如下:
- >>> args = {'username': 'ciphersaw', 'id': 1}
- >>> r = requests.post('https://github.com/', data = args)
其中 data
参数也是 dict
类型变量。由于 POST 请求参数不以明文展现,在此省略验证步骤。
传递 Cookie 参数
如果想传递自定义 Cookie 到服务器,可以使用 cookies
参数。以 POST 请求为例向 Github 官网提交自定义 Cookie(cookies
参数同样适用于 GET 请求):
- >>> mycookie = {'userid': '123456'}
- >>> r = requests.post('https://github.com/', cookies = mycookie)
- >>> r.request.headers
- ...'Cookie': 'userid=123456',...
其中 cookies
参数也是 dict
类型变量。可以看到,POST 请求的请求头中确实包含了自定义 Cookie。
会话对象 Session()
Session 是存储在服务器上的相关用户信息,用于在有效期内保持客户端与服务器之间的状态。Session 与 Cookie 配合使用,当 Session 或 Cookie 失效时,客户端与服务器之间的状态也随之失效。
有关 Session 的原理可参见以下文章:
requests 模块中的 会话对象 Session() 能够在多次请求中保持某些参数,使得底层的 TCP 连接将被重用,提高了 HTTP 连接的性能。
Session() 的创建过程如下:
>>> s = requests.Session()
在有效期内,同一个会话对象发出的所有请求都保持着相同的 Cookie,可以看出,会话对象也可以通过 get
与 post
方法发送请求,以发送 GET 请求为例:
>>> r = s.get('https://github.com/')
0x02 writeups
介绍完 requests 模块的基本使用方法,下面借助几道题来分析讲解。另外,在 HTTP 响应头中获取的 key 值通常是经过 base64 编码的,所以还需要引入內建模块 base64 用于解码。以下代码均在 Python 3.6 环境下运行。
【实验吧 CTF】 Web —— 天下武功唯快不破
此题是 Web 类型快速反弹 POST 请求的基础题,结合 requests 模块与 base64 模块写一个 Python 脚本即可实现快速反弹 POST 请求。相关链接如下:
进入解题链接,发现如下提示:
“没有一种武术是不可击败的,拥有最快的速度才能保持长胜,你必须竭尽所能做到最快。” 换句话说,如果我们没有天下第一的手速,还是借助工具来解题吧。再看看源码有没什么新发现:
提示说请用 POST 请求提交你发现的信息,请求参数的键值是 key。最后按照常规思路看看响应头:
结果发现有一个 FLAG 属性,其值是一段 base64 编码。在用 Python 脚本解题之前,为了打消部分同学的疑虑,先看看纯手工解码再提交 POST 请求会有什么效果:
将 FLAG 值进行 base64 解码后,在 Firefox 下用 New Hackbar 工具提交 POST 请求:
提示需要你再快些,显然必须要用编程语言辅助完成了。下面直接上 Python 脚本解题:
1 2 3 4 5 6 7 8 9 10 |
#!/usr/bin/env python3 # -*- coding: utf-8 -*- import requests import base64 url = 'http://ctf5.shiyanbar.com/web/10/10.php' headers = requests.get(url).headers key = base64.b64decode(headers['FLAG']).decode().split(':')[1] post = {'key': key} print(requests.post(url, data = post).text) |
- Line 6:URL 地址的字符串;
- Line 7:获得 GET 请求的响应头;
- Line 8:先将响应头中 FLAG 属性的值 用base64 解码,得到的结果为
bytes-like objects
类型,再用decode()
解码得到字符串,最后用split(':')
分离冒号两边的值,返回的list
对象中的第二个元素即为要提交的 key 值; - Linr 9:构造 POST 请求中
data
参数的dict
类型变量; - Line 10:提交带有
data
参数的 POST 请求,最终打印响应页面的内容。
执行完脚本后,即可看到返回的最终 flag:
【Bugku CTF】 Web —— Web6
此题是上一题的升级版,除了要求快速反弹 POST 请求,还要求所有的请求必须在同一个 Session 内完成,因此会话对象 Session() 就派上用场了。相关链接如下:
进入解题链接,直接查看源码:
发现 POST 请求参数的键值为 margin,最后看看响应头:
发现 flag 属性,其值同样是一段 base64 编码。这里就不手工解码再提交 POST 请求了,直接用上一题的 Python 脚本试试:
此处注意第 8 行的 base64 解码,因为经过第一次 base64 解码后,仍然还是一段 base64 编码,所以要再解码一次。解题过程中,要自行动手查看每一次解码后的值,才能选择合适的方法去获得最终 key 值。
1 2 3 4 5 6 7 8 9 10 |
#!/usr/bin/env python3 # -*- coding: utf-8 -*- import requests import base64 url = 'http://120.24.86.145:8002/web6/' headers = requests.get(url).headers key = base64.b64decode(base64.b64decode(headers['flag']).decode().split(":")[1]) post = {'margin': key} print(requests.post(url, data = post).text) |
结果如下,果然没那么容易得到 flag:
嗯,眉头一紧,发现事情并不简单。下面看看 GET 请求与 POST 请求的请求头与响应头是否内有玄机:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
#!/usr/bin/env python3 # -*- coding: utf-8 -*- import requests import base64 url = 'http://120.24.86.145:8002/web6/' get_response = requests.get(url) print('GET Request Headers:\n', get_response.request.headers, '\n') print('GET Response Headers:\n', get_response.headers, '\n') key = base64.b64decode(base64.b64decode(get_response.headers['flag']).decode().split(":")[1]) post = {'margin': key} post_responese = requests.post(url, data = post) print('POST Request Headers:\n', post_responese.request.headers, '\n') print('POST Response Headers:\n', post_responese.headers, '\n') |
不出所料,结果如下,原来是 GET 请求和 POST 请求的响应头都有 Set-Cookie 属性,并且值不相同,即不在同一个会话中,各自响应头中的 flag 值也不等:
接下来引入会话对象 Session(),稍作修改就能保证 GET 请求与 POST 请求在同一个会话中了:
1 2 3 4 5 6 7 8 9 10 11 |
#!/usr/bin/env python3 # -*- coding: utf-8 -*- import requests import base64 url = 'http://120.24.86.145:8002/web6/' s = requests.Session() headers = s.get(url).headers key = base64.b64decode(base64.b64decode(headers['flag']).decode().split(":")[1]) post = {"margin":key} print(s.post(url, data = post).text) |
与上一题代码的区别是:此处用会话对象 Session() 的 get
和 post
方法,而不是直接用 requests 模块里的,这样可以保持 GET 请求与 POST 请求在同一个会话中。将同一会话中的 key 值作为 POST 请求参数提交,最终得到 flag:
虽然到此即可结束,但为了验证以上两次请求真的在同一会话内,我们再次查看请求头与响应头:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
#!/usr/bin/env python3 # -*- coding: utf-8 -*- import requests import base64 url = 'http://120.24.86.145:8002/web6/' s = requests.Session() get_response = s.get(url) print('GET Request Headers:\n', get_response.request.headers, '\n') print('GET Response Headers:\n', get_response.headers, '\n') key = base64.b64decode(base64.b64decode(get_response.headers['flag']).decode().split(":")[1]) post = {'margin': key} post_responese = s.post(url, data = post) print('POST Request Headers:\n', post_responese.request.headers, '\n') print('POST Response Headers:\n', post_responese.headers, '\n') |
结果如下,GET 请求中响应头的 Set-Cookie 属性与 POST 请求中请求头的 Cookie 属性相同,表明两次请求确实在同一会话中。
既然只需要保持两次请求中 Cookie 属性相同,那能不能构造 Cookie 属性通过普通的 get
与 post
方法完成呢?答案是可以的。请见如下代码:
1 2 3 4 5 6 7 8 9 10 11 12 |
#!/usr/bin/env python3 # -*- coding: utf-8 -*- import requests import base64 url = 'http://120.24.86.145:8002/web6/' headers = requests.get(url).headers key = base64.b64decode(base64.b64decode(headers['flag']).decode().split(":")[1]) post = {"margin": key} PHPSESSID = headers["Set-Cookie"].split(";")[0].split("=")[1] cookie = {"PHPSESSID": PHPSESSID} print(requests.post(url, data = post, cookies = cookie).text) |
- Line 10:获得 GET 请求响应头中 Set-Cookie 属性的 PHPSESSID 值,该语句如何构造请自行分析 Set-Cookie 属性字符串值的结构;
- Line 11:构造 POST 请求中
cookies
参数的dict
类型变量; - Line 12:提交带有
data
参数与cookies
参数的 POST 请求,最终打印响应页面的内容。
毫无疑问,以上代码的结果也是最终的 flag。
【Bugku CTF】 Web —— 秋名山老司机
前面两题均是对响应头中与flag相关的属性做解码处理,然后快速反弹一个 POST 请求得到 flag 值。而本题要求计算响应内容中的表达式,将结果用 POST 请求反弹回服务器换取 flag 值。实际上换汤不换药,依旧用 Python 写个脚本即可解决。
打开解题连接,老规矩先看源码:
题意很明确,要求在 2 秒内计算给出表达式的值…呃,然后呢?刷新页面再看看,噢噢,然后再将计算结果用 POST 请求反弹回服务器,请求参数的 key 值为 value
:
从页面内容中截取表达式,可以用 string 自带的 split()
函数,但必须先要知道表达式两边的字符串,以其作为分隔符;也可以用正则表达式,仅需知道表达式本身的特征即可。此处用正则表达式更佳。先放上题解脚本,再来慢慢解析:
1 2 3 4 5 6 7 8 9 10 11 12 13 |
#!/usr/bin/env python3 # -*- coding: utf-8 -*- import requests import re url = 'http://120.24.86.145:8002/qiumingshan/' s = requests.Session() source = s.get(url) expression = re.search(r'(\d+[+\-*])+(\d+)', source.text).group() result = eval(expression) post = {'value': result} print(s.post(url, data = post).text) |
有关 requests 的部分此处不细讲,唯一要注意的是,与上一篇 writeup 一样,要利用会话对象 Session(),否则提交结果的时候,重新生成了一个新的表达式,结果自然错误。
- Line 9:是利用正则表达式截取响应内容中的算术表达式。首先引入 re 模块,其次用
search()
匹配算术表达式,匹配成功后用group()
返回算术表达式的字符串。(想掌握正则表达式,还是要多看、多想、多练,毕竟应用场合非常之广)
search() 的第一个参数是匹配的正则表达式,第二个参数是要匹配的字符串。其中
\d+
代表一个或多个数字;[+\-*]
匹配一个加号,或一个减号,或一个乘号,注意减号在中括号内是特殊字符,要用反斜杠转义;(\d+[+\-*])+
代表一个或多个由数字与运算符组成的匹配组;最后再加上剩下的一个数字(\d+)
。
- Line 11:在获得算术表达式的字符串后,直接利用 Python 的內建方法
eval()
来计算出结果,简单、暴力、快捷。
执行完上述脚本,就有一定的概率可以获得 flag 了:
为什么说是一定概率呢?读者们自行尝试便知,据我观察,当计算结果超出一定长度时,服务器就不响应了。在此猜想:可能客户端 Python 脚本计算错误,也可能服务器端 PHP 脚本对大数计算有误差,还可能在 POST 请求过程中令大整数发生改变。至于是哪种,还请高手解答。
web安全之快速反弹 POST 请求的更多相关文章
- Java Web 开发环境快速搭建
Java Web 开发环境快速搭建 在因某种原因更换开发设备后,可依据此文快速搭建开发环境,恢复工作环境. Java开发环境: Windows 10 (64-bit) Oralce JDK Eclip ...
- 工程师技术(三):独立Web站点的快速部署、虚拟Web主机的部署、配置网页内容访问、使用自定Web根目录、配置安全Web服务、部署并测试WSGI站点
一.独立Web站点的快速部署 目标: 本例要求为 http://server0.example.com 配置Web站点,要求如下: 1> 从http://classroom/pub/materi ...
- 独立Web站点的快速部署
独立Web站点的快速部署 1案例1:独立Web站点的快速部署 1.1问题 本 ...
- 使用ASP.NET 构建 Web 应用程序快速入门-8小时的免费培训视频
- Scott Hanselman的中文博客[转载] [原文发表地址] Building Web Apps with ASP.NET Jump Start - 8 Hours of FREE Trai ...
- Spring Boot Web应用开发 CORS 跨域请求支持:
Spring Boot Web应用开发 CORS 跨域请求支持: 一.Web开发经常会遇到跨域问题,解决方案有:jsonp,iframe,CORS等等CORS与JSONP相比 1. JSONP只能实现 ...
- Web容器自己主动对HTTP请求中參数进行URLDecode处理
这篇文章转载自 : Web容器自己主动对HTTP请求中參数进行URLDecode处理 如题.在Java中或许非常多人都没有注意到当我们发送一个http请求时,假设附带的參数被URLEncode之后,到 ...
- 【Java Web开发学习】跨域请求
[Java Web开发学习]跨域请求 ================================================= 1.使用jsonp ===================== ...
- Web安全之跨站伪造请求(CSRF)
CSRF简介 CSRF全称跨站伪造请求(Cross-site request forgery)也称为one click attack/session riding,还可以缩写为XSRF 通俗说就是利用 ...
- Beaglebone Black– 智能家居控制系统 LAS - 网页服务器 Node.js 、Web Service、页面 和 TCP 请求转 UDP 发送
上一篇,纯粹玩 ESP8266,写入了 init.lua 能收发 UDP.这次拿 BBB 开刀,用 BBB host 一个 web server ,用于与用户交互,数据来自 ESP8266 的 UDP ...
随机推荐
- fluem读取文件并写入到hadoop的hdfs
接上一章,本章介绍使用 crontab 像指定文件定时写入,使用fluem 读取并写入到hadoop的hdfs 前提准备已安装好fluem ,和hadoop(推荐单机即可毕竟做实验) 一.进入终端执行 ...
- Hadoop 代码实现文件上传
本项目主要实现Windows下利用代码实现Hadoop中文件上传至HDFS 实现上传文本文件中单词个数的计数 1.项目结构 2.相关代码 CopyFromLocalFile 1 package com ...
- 华为联运游戏审核驳回:在未安装或需更新HMS Core的手机上,提示安装,点击取消后,游戏卡屏(集成的6.1.0.301版本游戏SDK)
问题描述 更新游戏SDK到6.1.0.301版本之后,游戏包被审核驳回:在未安装或需更新华为移动服务版本(HMS Core)的手机上,提示安装华为移动服务(HMS Core),点击取消,游戏卡屏.修改 ...
- kubernetes之kubeadm 安装kubernetes 高可用集群
1. 架构信息 系统版本:CentOS 7.6 内核:3.10.0-957.el7.x86_64 Kubernetes: v1.14.1 Docker-ce: 18.09.5 推荐硬件配置:4核8G ...
- Vue3.2中的setup语法糖,保证你看的明明白白!
vue3.2 到底更新了什么? 根据原文内容的更新的内容主要有以下 5 块: 1.SSR:服务端渲染优化.@vue/server-renderer包加了一个ES模块创建, 与Node.js解耦,使在非 ...
- 学习JAVAWEB第三天
## 数据库的设计· 1. 多表之间的关系 1. 分类: 1. 一对一(了解): * 如:人和身份证 * 分析:一个人只有一个身份证,一个身份证只能对应一个人 2. 一对多(多对一): * 如:部门和 ...
- Spring专题2: DI,IOC 控制反转和依赖注入
合集目录 Spring专题2: DI,IOC 控制反转和依赖注入 https://docs.spring.io/spring/docs/2.5.x/reference/aop.html https:/ ...
- Python初学笔记之可变类型、不可变类型
python中 可变类型: 列表 list 字典 dict 不可变类型: 数字型:int.float.complex.bool.long 字符型 str 元组 tuple id(i):通过id查看变量 ...
- 创建一个python类 ,self init相关参数的简单介绍
一 创建 ''' 一 使用python 语法 创建一个类, 探究self 是干啥的 1 创建一个对象 car 2 写入两个行参 3 定义两个方法 ''' class Car(): ''' 二 init ...
- oracle 快速创建用户
create user testdb identified by 123456; grant dba to testdb;