GET 传参

传参传的参数会被理解成字符串, 传数组如下,[]内不填默认为 0
xxx.com/?a=1&b=2&c[0]=3&c[1]=4&d[]=5

POST 传参

把 GET 请求改为 POST, 如果用的 burp 可以用这个一键切

不能切的话把 GET 改为 POST,在下面加
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
Content-Length 需要改数值,建议勾选 burp 的修改 body 长度(默认勾选)不用手动更改,数值取决于你 POST 传参的长度,如 a=4 长度为 3
当存在 Transfer-Encoding: chunked 时,Content-Length 会被忽略
没有 POST 传参最后要留两行空,不然会无法打开
POST 参数跟 http 头之间要空一行,后面不能有空行

PUT 等更多类型的传参

直接把 GET 开头改成 PUT 就行

要求 ip 地址为 127.0.0.1 / 要求本地权限

这种要求如果在 http 题中只要 xff 伪造 ip 就行,如果要 ssrf 伪造它就不是 http 题

X-Forwarded-For: 127.0.0.1
Client-IP: 127.0.0.1
X-Real-IP: 127.0.0.1
这三个任选添加,都可能通过,大小写随意,注意 xff 的 ed 不要少写。

要求挂代理

via: xxx.vip

$_SERVER[‘FLAG’]=='123’等 php 参数

FLAG: 123

要求改 UA / 浏览器

User-Agent: Firefox Browser

要求你的邮件地址

From: [email protected]

要求来自 网址 (origin)

Referer: xxx.org

要求改 Cookie

格式如 Cookie: user=admin