【Root-Me】 HTTP - verb tampering



题目已经提示:HTTP 动词篡改。 亦即通过不同的 HTTP 动词可能可以访问到不同的资源。

使用 Burp Suite -> Repeater 打开页面,修改 HTTP 请求的动词(原本为 GET),改成 OPTIONSPUTDELETE 中的任意一个均可获得密码,完成挑战。

注:根据 Burp Suite 分析可知当前页面遵循 HTTP/1.1 版本规范,这个版本支持 8 个动词: GETHEADPOSTOPTIONSPUTDELETETRACECONNECT,逐个试就行。


答案下载

flag 下载后的 flagzip 的文件需要手动更改后缀为 *.zip,然后解压即可(为了避免直接刷答案)


文章作者: EXP
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 EXP !
 上一篇
【Root-Me】 File upload - double extensions 【Root-Me】 File upload - double extensions
来源:Root-Me 题型:Web-Server 题目:File upload - double extensions 分数:20 Points 题目给出了两个提示: 双重后缀绕过(double extensions) 目标文件 .
2019-08-11
下一篇 
【Root-Me】 HTTP - Headers 【Root-Me】 HTTP - Headers
来源:Root-Me 题型:Web-Server 题目:HTTP Headers 分数:15 Points 题目要求使用 administrator 权限查看页面,页面提示:一个HTTP响应不仅仅只有 Content 。 这个提示已经
2019-08-03
  目录