get和post是http协议的两种基本请求方式
GET - 从指定的资源请求数据。
POST - 向指定的资源提交要被处理的数据
https://www.w3school.com.cn/tags/html_ref_httpmethods.asp


知乎上这篇更详细，关于get和post的区别
https://www.zhihu.com/question/28586791
web题中会遇到，比如攻防世界web中的get_post


get传参：url/?拼接内容
拼接后的链接为
网页中出现第二条提示

post传参使用火狐插件HackBar，键盘F12调出控制台

HackBar更新后收费，2.1.3版本还可以使用，以下为安装教程：

务必去掉“自动更新附加组件”的勾选！！！

github打不开，文件很小
网盘链接：https://pan.baidu.com/s/1BK4D59ZJw2v1Ta399AIptw
提取码: q9c5
下载后为XPI文件， 不需要解压
参考链接：
教程：https://mrxn.net/hacktools/617.html
下载链接：https://www.52pojie.cn/thread-1019472-1-1.html

抓包处对上图circle处进行解密 在burp的decode模板中进行查询可知其加密方式为base64 此处开始走弯路：1.词典所加载的均为密码，缺少用户名（发现问题后，度娘学习正则表达式，很好，又学了个奇奇怪怪的姿势）2.词典爆破后一直都是401返回，长度均为404，没有出现200返回（原因未明） ---------------------------- 以下的几个脚本都是自己写的（有参考别的大佬），代码可能不是最精简，但是还算顺眼 核心算法都是二分法，不推荐时间盲注（速度硬伤） 脚本payload参考题目：[第一章 web入门]SQL注入-2 / 极客大挑战finilysql（buu ctf ） 1.通过 post 传参 的脚本 用的时候修改 post 参数和个数 1.1 基于异或盲注，布尔盲注等： import requests url = 'http://736aa374-b497-441f-9b6a-a1c91f9b182b.node4.buuoj.cn: CTF 比赛中web题型里经常会见到 post 和get 传参 的题型，原理也很简单，在get 传参 的时候，要构造URL拿一道BugKu中的题来举个例子 很明显，只需要构造what=get，回车，即可得到答案。 在 post 传参 的时候，也是看一下代码要求，例如：   显然，只需要构造what=flag即可得到flag。但是这个地方要用到火狐浏览器中的一个插件—— hackbar ，新版火狐中没有hackba... sqli-labs 1-10 关是 GET 方法注入，11-20 关是 POST 方法注入。思路有相似之处，最大的区别在于参数提交的方式不一样。 Phpstudy 集成工具 Sublime 代码编辑器 Firefox 浏览器 Hackbar 插件（或 Burpsuite） Headers Modify 插件 Less 1... 前言：最近开始接触bugku，感觉适合新人培养兴趣。自己在学习的时候写个笔记，督促自己多去学习和巩固知识。如果文章和代码有表述不当之处，还请大佬不吝赐教。 Bugku CTF -web4 POST 型 传参 知识积累解题总结 HTTP的 POST 请求：向指定的资源提交要被处理的数据。 HTTP的 POST 请求方式：把提交的数据放在HTTP包的Body中。 查看PHP代码，发现可用 POST 类型的HTTP来请求参数,构造报文头来 传参 $what=$_ POST I'what'];//读取参数what 1.在火狐浏览器上安装 hackbar 插件，浏览器右上角添加组件中搜索 hackbar 组件添加即可 2.在需要 post 传参 的网页，Ctrl+Shift+k打开web控制台，点开 hackbar ，在url里输入当前网页网址，选择 post data，在下方出现文本框中输入所需传入参数即可 点击Execute 注：GET和 POST 不像scanf，scanf会等你给他输入，GET， POST 不等你，没有输入就直接执行下一步。X=() 括号内填入你要输出的值。输入hello=（） 括号内为你要输出的内容。然后点击Ececute即可输出该值。选中左下角的 Post data。get post 传参 的代码。按f12打开 hackbar 。 二、解题步骤 1、注入点的确定 Step1：利用http://172.16.15.193/stage/9/get_info.php?title=xiaoshiniudao&order=id 这个网址跑sqlmap，提示title不是注入点。 Step2：此题为get 传参 ，参数可以删减。猜测注入点为order。 在浏览器加载文件，但是还没有点击上传按钮时便弹出对话框。内容如：只允许上传.jpg/.jpeg/.png后缀名的文件，但是此时呢，数据包并没有发送到服务器。 那么如何判断一个网站的文件上传检验是前端检验还是后端检验呢？我们可... 2. 左边为请求信息，右边为响应信息；请求信息有三部分组成，分别为请求行、请求头、和请求正文组成。响应信息也有三部分组成，分别为响应行、响应 头、响应正文。 3. 首先可以看一下请求行 GET /index.php?tn=monline_3_dg HTTP/1.1 GET方法。GET方法用于获...