بسم الله الرحمن الرحيم
في هذه المقاله سنشارككم حل تحدي picoCTF
(Web Exploitation :GET aHEAD)
الادوات المستخدمة في هذا التحدي :
-burp suite
وصف للتحدي :
- في هذا التحدي تم اعطائنا صفحة وريب تقوم بمهمتين عند الضغط على زر (choose red )تظهر لنا خلفيه حمراء وعند الضغط علي زر (choose blue) تظهر لنا خلفية زرقاء والمطلوب استخراج الفلاق من صفحة الويب هذه ، فسوف نستخدم أداة burp suite لاعتراض الطلبين وكيف يمكن أن نستفيد من الطلب في ايجاد الفلاق .
- هذه الصوره توضح كيف سيكون الطلب بعد الضغط على زر (choose red) والاستجابة لهذا الطلب :
ونلاحظ بأن الطلب كان باستخدام GET وهي المثود التي تستخدمها طلبات http وتكون هي المسؤولة عن جلب معلومات الطلب ومحتوي هذا الطلب من السيرفر
- هذه الصوره توضح كيف سيكون الطلب بعد الضغط على زر (choose blue) والاستجابة لهذا الطلب :
ونلاحظ بأن الطلب كان باستخدام POST وهي المثود التي تستخدمها طلبات http وتكون هي المسؤولة عن ارسال محتوى للسيرفر
- وفي كلا الحالتين لانرى أي شي غريب لا بالطلب ولا الاستجابه لهذا الطلب فنلاحظ بأن عنوان هذا التحدي تم ذكر مثود اخرى تستخدمها طلبات http وهي HEAD فلماذا لا يكون عنوان التحدي تلميح باستخدام مثود HEAD في الطلب فدعونا نجرب ذلك من خلال ارسال الطلب إلى Repeater وكتابة مثود HEAD :
- في هذه الصوره عدلنا الطلب وقمنا بكتابة مثود HEAD ثم ارسلنا الطلب وظهرت الاستجابه كما تلاحظون وهي الفلاق وبهذا قد حللنا هذا التحدي .
وبهذا كان الفلاق عباره عن :
picoCTF{r3j3ct_th3_du4l1ty_2e5ba39f}
تعليقات
إرسال تعليق