تحتوي هذه المقالة على حل المهام التي تهدف إلى استغلال اتصالات الويب. تهدف هذه المقالة بشكل أساسي إلى المبتدئين الذين يرغبون في فهم رؤوس HTTP والمشاركة في CTF. مراجع إلى الأجزاء السابقة من هذا القسم:
على شبكة الإنترنت. حل المشكلات باستخدام r0ot-mi. الجزء 1المعلومات التنظيميةخاصةً لأولئك الذين يرغبون في تعلم شيء جديد وتطويره في أي من مجالات أمن المعلومات والحاسوب ، سأكتب وأتحدث عن الفئات التالية:
- PWN.
- التشفير (التشفير) ؛
- تقنيات الشبكات (الشبكة) ؛
- عكس (الهندسة العكسية) ؛
- إخفاء المعلومات (Stegano) ؛
- بحث واستغلال مواطن الضعف WEB.
بالإضافة إلى ذلك ، سوف أشارك تجربتي في الطب الشرعي للكمبيوتر ، وتحليل البرامج الضارة والبرامج الثابتة ، والهجمات على الشبكات اللاسلكية وشبكات المناطق المحلية ، وإجراء عمليات pentests واستغلال الكتابة.
حتى تتمكن من معرفة المقالات الجديدة والبرامج والمعلومات الأخرى ، أنشأت
قناة في Telegram ومجموعة لمناقشة أي مشاكل في مجال التصنيف الدولي للأمراض. أيضًا ، سأدرس شخصيًا طلباتك الشخصية وأسئلتك واقتراحاتك وتوصياتك
شخصيًا وسأجيب على الجميع .
يتم توفير جميع المعلومات للأغراض التعليمية فقط. لا يتحمل مؤلف هذا المستند أية مسؤولية عن أي ضرر يلحق بشخص ما نتيجة استخدام المعرفة والأساليب التي تم الحصول عليها نتيجة لدراسة هذا المستند.
رؤوس HTTP
نحن نتبع الرابط ، ونحن في استقبال مع الرسالة التالية.
لنلقِ نظرة على رأس HTTP.
يحتوي الرأس على حقل Header-RootMe-Admin يساوي لا شيء. دعنا نغيره إلى حقيقة.
الآن نحن ننظر إلى استجابة الخادم.
HTTP POST
نحن نتبع الرابط ، وعرض علينا أن نلعب اللعبة.
تتمثل المهمة في الاتصال بأكثر من 999999 ، ولكن عدد الأشخاص الذين لا يدفعون ، لا يمكنك ذلك.
نحن ننظر إلى الرمز. يقوم JavaScript بإنشاء رقم عشوائي وإرساله إلى الخادم.
افتح رأس HTTP وقم بتغيير الرقم الذي تم إنشاؤه.
وفزنا.
إعادة توجيه HTTP غير صحيح
التقينا بواسطة نموذج ترخيص.
عند تحميل الصفحة ، يمكنك رؤية إعادة التوجيه. لتأكيد هذا ، انتقل إلى التجشؤ واعترض الطلب.
الآن أرسل هذا الرأس إلى مكرر. ولا تقم بإجراء انتقال تلقائي.
فعل HTTP العبث
لقد قابلنا مصادقة HTTP.
دعنا نذهب من خلال جميع أساليب HTTP.
وطريقة PUT تعطينا صفحة بدون إذن.
تثبيت الملفات
صفحة فارغة تلتقي بنا. نحن ننظر إلى شفرة المصدر.
لذلك ، يتم استخدام phpbb ، وبالتالي سننتقل إلى العنوان / phpbb / install.
نفتح الصفحة الوحيدة ، نرفع العلم.
المزيد والمزيد من التعقيد ... يمكنك الانضمام إلينا على
Telegram . فلنجمع مجتمعًا سيكون فيه أشخاص على دراية بالعديد من مجالات تكنولوجيا المعلومات ، ثم يمكننا دائمًا مساعدة بعضنا البعض في أي قضايا تتعلق بتكنولوجيا المعلومات والأمن.