新版NewBugKu-Web9-put me a message bugku then you can get the flag Writeup

枫少@KillBoy
枫少@KillBoy
管理员
220
文章
0
粉丝
Web安全1729,4459字数 52阅读0分10秒阅读模式
AI智能摘要
想轻松拿下这道CTF题?别再对着页面发呆了。这道题的关键一步,就在于改变请求方式。本文将为你清晰拆解过程,从抓包修改到解码获取Flag,让你直观掌握利用BurpSuite进行HTTP请求篡改的核心技巧,轻松破解谜题。
— AI 生成的文章内容摘要

打开网页,发现一行字符提示:

put me a message bugku then you can get the flag

Burpsuite抓包修改为PUT上传参数bugku,然后go:

新版NewBugKu-Web9-put me a message bugku then you can get the flag Writeup-图片1

获得一串字符,看起来是base64,去解码

新版NewBugKu-Web9-put me a message bugku then you can get the flag Writeup-图片2

热门话题

抓包改方法获取flag的实战流程
常见Content-Type导致的漏洞原理是什么?
如何用PUT请求绕过表单限制

历史上的今天
3 月
19
 
枫少@KillBoy
  • bugku
  • CTF解题攻略
  • flag
  • it2021
  • it2021.com
  • Web渗透测试
  • 网络安全挑战
评论  17  访客  17
    • 幽影思绪
      幽影思绪 1
      上海市 1F
      回复

      用Burp改PUT方法就能拿到flag?这么简单吗🤔

      • Malarkey
        Malarkey 0
        浙江省杭州市 2F
        回复

        之前也遇到过类似的题,直接抓包改参数就行

        • 糖人董
          糖人董 0
          澳大利亚 3F
          回复

          这个方法在最新版Burp里还能用吗?

          • 晚霞归雁
            晚霞归雁 1
            广东省深圳市 4F
            回复

            感觉步骤讲得有点简略,新手可能看不懂

            • 九尾冥狐
              九尾冥狐 0
              河南省新乡市 5F
              回复

              图片里的base64字符串具体是啥内容啊?

              • 企鹅酱
                企鹅酱 0
                菲律宾 6F
                回复

                这种CTF题套路都差不多,改请求方法拿flag

                • 记忆之沙
                  记忆之沙 0
                  台湾省桃园市 7F
                  回复

                  为啥非要用PUT方法?POST不行吗?

                  • 行藏无界
                    行藏无界 0
                    四川省南充市 8F
                    回复

                    看着挺简单的,晚上试试去

                    • 迷雾间谍
                      迷雾间谍 1
                      韩国 9F
                      回复

                      图片加载不出来,能文字描述下具体操作吗?

                      • 夕阳无限好
                        夕阳无限好 1
                        广东省广州市 10F
                        回复

                        这个方法确实有效,刚试了下拿到flag了

                        • 打工人之光
                          打工人之光 0
                          日本 11F
                          回复

                          确实能拿到flag,挺爽的

                          • 山谷回音
                            山谷回音 0
                            四川大学 12F
                            回复

                            其实只要把Content-Type改成application/json也行,结果一样

                            • 草莓布丁酱
                              草莓布丁酱 0
                              福建省厦门市 13F
                              回复

                              这个PUT请求在Chrome的开发者工具里能直接改吗?

                              • 阳光小径
                                阳光小径 1
                                陕西省渭南市 14F
                                回复

                                原来还能改Content-Type啊,get了

                                • 古铜锁
                                  古铜锁 1
                                  广东省揭阳市 15F
                                  回复

                                  我前几天也卡在抓包那一步,改了方法才通

                                  • 林平之
                                    林平之 0
                                    湖北省黄冈市 16F
                                    回复

                                    这题感觉就是在教怎么玩Burp,没啥难度

                                    • 绿灯侠
                                      绿灯侠 1
                                      北京市 17F
                                      回复

                                      看到有人把PUT改成GET再跑,结果直接返回404,真是无语🤔,其实服务器只接受PUT,改成别的根本不行,大家还是按文档走比较稳,别折腾太久

                                    匿名

                                    发表评论

                                    匿名网友

                                    拖动滑块以完成验证