重点知识:系统区分法,响应码,client-ip限制,抓https包的方法

 区分网站系统方法:网址后面修改大小写,大小写报错证明是linux,返回正常正常是windows
    Server:使用的容器
     有时候可以看出是否有waf回显

 

   响应吗:
          200:客户端请求成功,常见
          302:重定向
          404:请求资源不存在  常见
          400:客户护短请求语法错误,不能被服务器所理解
          401:请求未经授权
          403:服务器收到请求,但是拒绝提供服务
          500:服务器内部错误,  常见   菜刀访问报500可能被waf拦截了
          503:服务器不能处理客户端请求,一段时间后恢复

    如果被client-ip给限制了ip比如:burp暴力破解  被限制ip可以在破解时候的请求头里设置一个client-ip:1.1.1.1把1.1.1.1都设置成变量就可以边跑密码边换Ip(这个办法比较麻烦)方法二:burp插件“fakeip”在extender(扩展)BAPP xxxx  找到后设置变量,再去爆破选项选择扩展生成,选择fakeip 在设置密码,直接攻击

posted @ 2020-07-03 21:13  那个人叫方寒  阅读(384)  评论(0编辑  收藏  举报