2022.1.13實驗
鎖群管理系統
步驟一:使用Fofa搜尋<title=="鎖群管理系統 V2.0">並隨便開啟一個連線地址...嘗試登入
步驟二:設定Burpsuite抓取Response資料包並新增如下規則...
在Intercept Server Response框中勾選,然後點Edit,選擇
點選Forward,出現下面程式碼
然後進行修改,
修改後,重新登入。
虛擬機器之內html怎麼直接修改?
1.使用win 10虛擬機器,將網路連線設定為僅主機模式連線。開啟計算機網路介面卡,右擊。ipv4設定成為ip地址為192.168.0.2(可隨機),子網為255.255.255.255.首選DNS伺服器為127.0.0.1.
2.然後cmd視窗輸入ipcofig,查詢IP地址是否更改為192.168.0.2.
3.開啟C:\Windows\System32\drivers\etc\hosts這個路徑,然後在文字中新增127.0.0.1 www.baidu.com。然後進行儲存。
*如果不能儲存的話,選中hosts資料夾右鍵進行屬性安全。在組或使用者名稱ALL APPLICATION PACKAGES點選編輯,然後新增使用者名稱。(cmd中)。下面許可權全部選擇。然後就可以儲存了。
4.新建一個資料夾,裡面再新建一個文字寫人你想顯示的話語。更改字尾名(點中檢視,選中副檔名,設定成html)
5.然後cmd中輸入python2測試,可以的話,輸入python2 -m SimpleHTTPServer 80
6.最後網頁搜尋www.baidu.com
今日筆記HTTP通訊基礎
GET和POST區別
1:URL可見性
i:Get傳參方式是通過位址列URL傳遞,是可以直接看到get傳遞的引數,get把請求的資料在URL後通過?連線,通過&進行引數分割。
ii:Post傳參方式引數URL不可見,post將從引數存放在HTTP的包體內。
2:傳輸資料大小
i:Get傳遞資料是通過URL進行傳遞,對傳遞的資料長度是受到URL大小的限制,URL最大長度是2048個字元。
ii:Post沒有長度限制。
3:後退頁面
Get後退不會有影響,Post後退會重新進行提交
4:快取
i:Get 請求可以被快取,請求的記錄會留在歷史記錄中。
ii:Post 不可以被快取,請求不會留在歷史記錄。
5:編碼方式
i:Get 請求只URL編碼。
ii:Post 支援多種編碼方式。
6:字元型別
i:Get 只支援ASCII字元。
ii:Post 沒有字元型別限制。
7:常見的請求頭
- Accept
- 指定客戶端能夠接收的內容型別
- Accept: text/plain, text/html
- Accept-Charset
- 瀏覽器可以接受的字元編碼集
- Accept-Charset: iso-8859-5
- Accept-Encoding
- 指定瀏覽器可以支援的web伺服器返回內容壓縮編碼型別
- Accept-Encoding: compress, gzip
- Accept-Language
- 瀏覽器可接受的語言
- Accept-Language: en,zh
- Cache-Control
- 指定請求和響應遵循的快取機制 Cache-Control: no-cache
- Connection
- 表示是否需要持久連線 // HTTP 1.1預設進行持久連線
- Connection: close
- Cookie
- HTTP請求傳送時,會把儲存在該請求域名下的所有cookie值一起傳送給web伺服器
- Cookie: role=admin;ssid=1
- Content-Length
- 請求的內容長度
- Content-Length: 348
- Content-Type
- 請求的與實體對應的MIME資訊
- Content-Type: application/x-www-form-urlencoded
- Date
- 請求傳送的日期和時間
- Date: Tue, 15 Nov 2010 08:12:31 GMT
- From
- 發出請求的使用者的Email
- From: [email protected]
- Host
- 指定請求的伺服器的域名和埠號
- Host: www.github.com
- Max-Forwards
- 限制資訊通過代理和閘道器傳送的時間
- Max-Forwards: 10
- Range
- 只請求實體的一部分,指定範圍
- Range: bytes=500-999
- Referer
- 先前網頁的地址,當前請求網頁緊隨其後,即來路
- Referer: http://www.zcmhi.com/archives/71.html
- TE
- 客戶端願意接受的傳輸編碼,並通知伺服器接受接受尾加頭資訊
- TE: trailers,deflate;q=0.5
- Upgrade
- 向伺服器指定某種傳輸協議以便伺服器進行轉換(如果支援)
- Upgrade: HTTP/2.0, SHTTP/1.3, IRC/6.9, RTA/x11
- User-Agent
- User-Agent的內容包含發出請求的使用者資訊
- User-Agent: Mozilla/5.0 (Linux; X11)
- Via
- 通知中間閘道器或代理伺服器地址,通訊協議
- Via: 1.0 fred, 1.1 nowhere.com (Apache/1.1)
4:常見的響應頭
- Accept-Ranges
- 表明伺服器是否支援指定範圍請求及哪種型別的分段請求
- Accept-Ranges: bytes
- Access-Control-Allow-Origin
- 配置有許可權訪問資源的域
- Access-Control-Allow-Origin: <origin>|*
- Age
- 從原始伺服器到代理快取形成的估算時間(以秒計,非負)
- Age: 12
- Allow
- 對某網路資源的有效的請求行為,不允許則返回405
- Allow: GET, HEAD
- Cache-Control
- 告訴所有的快取機制是否可以快取及哪種型別
- Cache-Control: no-cache
- Content-Encoding
- web伺服器支援的返回內容壓縮編碼型別。
- Content-Encoding: gzip
- Content-Language
- 響應體的語言
- Content-Language: en,zh
- Content-Length
- 響應體的長度
- Content-Length: 348
- Content-Location
- 請求資源可替代的備用的另一地址
- Content-Location: /index.htm
- Content-MD5
- 返回資源的MD5校驗值
- Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ==
- Content-Range
- 在整個返回體中本部分的位元組位置
- Content-Range: bytes 21010-47021/47022
- Content-Type
- 返回內容的MIME型別
- Content-Type: text/html; charset=utf-8
- Date
- 原始伺服器訊息發出的時間
- Date: Tue, 15 Nov 2010 08:12:31 GMT
- Expires
- 響應過期的日期和時間
- Expires: Thu, 01 Dec 2010 16:00:00 GMT
- Last-Modified
- 請求資源的最後修改時間
- Last-Modified: Tue, 15 Nov 2010 12:45:26 GMT
- Location
- 用來重定向接收方到非請求URL的位置來完成請求或標識新的資源
- Location: http://www.zcmhi.com/archives/94.html
- Refresh
- 應用於重定向或一個新的資源被創造,在5秒之後重定向(由網景提出,被大部分瀏覽器支援)
- Refresh: 5; url=http://www.zcmhi.com/archives/94.html
- Server
- web伺服器軟體名稱
- Server: Apache/1.3.27 (Unix) (Red-Hat/Linux)
- Set-Cookie
- 設定Http Cookie Set-Cookie: UserID=JohnDoe; Max-Age=3600; Version=1
- Strict-Transport-Security
- 設定瀏覽器強制使用HTTPS訪問
- max-age: x秒的時間內 訪問對應域名都使用HTTPS請求
- includeSubDomains: 網站的子域名也啟用規則
- Strict-Transport-Security: max-age=1000; includeSubDomains
- Trailer
- 指出頭域在分塊傳輸編碼的尾部存在 Trailer: Max-Forwards
- Transfer-Encoding
- 檔案傳輸編碼
- Transfer-Encoding:chunked
- Vary
- 告訴下游代理是使用快取響應還是從原始伺服器請求
- Vary: *
- Via
- 告知代理客戶端響應是通過哪裡傳送的
- Via: 1.0 fred, 1.1 nowhere.com (Apache/1.1)
- WWW-Authenticate
- 表明客戶端請求實體應該使用的授權方案
- WWW-Authenticate: Basic
- X-Content-Type-Options
- 配置禁止MIME型別嗅探
- X-Content-Type-Options: nosniff
- X-Frame-Options
- 配置頁面是否能出現在 <frame>, <iframe>, <embed>, <object> 等標籤中,防止點選劫持
- X-Frame-Options: deny
- X-XSS-Protection
- 配置XSS防護機制
- X-XSS-Protection: 1; mode=block
HTTP響應碼
100:繼續,客服端應繼續其請求
200:請求成功
301:永久移動
302:臨時移動
401:要求使用者的身份認證
402:保留
500:伺服器內部錯誤
501:伺服器不支援請求的功能