第三课 web攻防-Bugku靶场-inspect-me

已于 2023-12-25 14:45:51 修改
阅读量668 收藏 11
点赞数 15
文章标签: web安全 网络安全 安全
于 2023-12-25 14:09:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40114827/article/details/135197454
版权

小白学安全

第三课 web攻防-BugkuCTF-inspect-me

文章目录

声明

文章中涉及的工具、代码、方法等可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

后续,我们将以CTF靶场、仿真靶场等web攻防题目为例,一步步讲解web攻防中的知识点。

一、题目

web类——inspect-me

在这里插入图片描述平平无奇,只有Nothing to see here几个字眼

二、WriteUp

1. F12查看网络请求

F12,然后捕获网络请求,查看请求包和回包,未发现存在flag
在这里插入图片描述

2. F12查看JS、CSS源码

F12并重新请求后,发现请求了JS。
JS源码中未发现存在flag

最低0.47元/天 解锁文章
转行信息安全
关注
  • 15
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
unist-util-inspect:检查节点的实用程序
04-30
Unist-util-inpect 检查节点的实用程序。 安装 该软件包 :需要使用Node 12+才能使用它,并且必须将其import而不是require d。 : npm install unist-util-inspect 用 var u = require ( 'unist-builder' ) var inspect = require ( 'unist-util-inspect' ) var tree = u ( 'root' , [ u ( 'literal' , '1' ) , u ( 'parent' , [ u ( 'void' , { id : 'a' } ) , u ( 'literal' , '2' ) , u ( 'node' , { id : 'b' } , [ ] ) ] ) ] ) console . log (
node-inspect:节点--inspect的节点调试
05-27
node-inspect npm install --global node-inspect 对于旧的V8调试器协议,节点具有两个选项: node --debug <file> :启用了远程调试的启动file 。 node debug <file> :为<file>启动交互式CLI调试器。 但是对于Chrome检查器协议,只有一个: node --inspect <file> 。 该项目试图通过针对新协议重新实现node debug来提供缺少的第二个选项。 Usage: node-inspect script.js node-inspect <host>:<port> node-inspect --port=<port> 参考
gui-inspect-tool.zip
04-23
该压缩包内含inspect,uispy等定位元素工具,适用于pywinauto等自动化测试程序定位windows元素时使用。
gui-inspect-tool-master.zip
04-27
windows APP自动化测试工具,方便结合pywinauto、pywin32、UIAutomationForWindows等工具结合使用
linux-inspect:linux-inspect实现各种Linux检查实用程序
02-02
linux检查 linux-inspect实现了各种Linux检查实用程序。 go get -v github.com/gyuho/linux-inspect/cmd/linux-inspect Usage: linux-inspect [command] Available Commands: ds Inspects '/proc/diskstats' ns Inspects '/proc/net/dev' ps Inspects '/proc/$PID/status', 'top' command output ss Inspects '/proc/net/tcp,tcp6'
bugku 渗透靶场3
akxnxbshai的博客
04-01 958
本题一共八个flag,主要是为了练习内网渗透的思路。
ctf系列-bugku靶场 web记录 SSTI 1 2 python flask框架 模板注入
YouthBelief的博客
03-04 773
ctf系列-bugku靶场 web记录Simple_SSTI_1 模板注入SSTI_2 Simple_SSTI_1 模板注入 (1)启动环境 (2)抓包访问链接 发现响应包 显示为python服务 源码 提示 你需要传入一个flag的参数 你知道,在这套flask框架中,我们经常设置一个secret_key 变量 (3)测试flag参数 http://114.67.175.224:17072/?flag={{2*2}} (4)根据提示获取SECRET_KEY变量 http://114.67.175
BugKu-webinspect-me
最新发布
weixin_73625393的博客
10-23 125
1.启动场景2.按F12查看源代码,找flag值3.flag为:shellmates{CLA$SI1111C_ch4l1enGE}
bugku渗透测试 1 writeup(无需VPS)
没事我溜达
11-22 3779
BugKu靶场只需要20金币就可以开启两小时,算的上非常良心实惠了,趁着有空赶紧刷一刷题目。
全!CTF靶场、渗透实战靶场总结 (适合收藏)
Appleteachers的博客
05-20 3万+
CTF靶场、渗透实战靶场总结 (适合收藏) CTF靶场:CTF刷题,在校生备战CTF比赛,信安入门、提升自己、丰富简历之必备(一场比赛打出好成绩,可以让你轻松进大厂,如近期的美团杯); 渗透实战靶场:挖洞、渗透实战(web、域、横向渗透),适合实战能力需要大幅度提升的同学。 目录 ▶0x01 CTF赛事发布网站 ▶0x02 CTF在线靶场 ▶0x03 漏洞靶场(本地搭建) ▶0x04 渗透实战靶场 0x01 CTF赛事发布网站 i春秋和XCTF社区经常会发布各类CTF赛事 i春秋: https://www.
django-celery-inspect:使用Celery Inspect命令通过Django REST框架监视工作人员任务的Django可重用应用程序
02-04
django-芹菜检查使用Celery Inspect命令通过监视工作人员的Django reusable-app。 主要思想是能够通过REST API监视来自另一个外部服务或服务器的celery工人,并使用celery自己的[Inspect API]来确定他们是否正在运行...
BugKu Web(前20)
kid的博客
05-25 6597
BugKu Web(前20) 前言 练习ctf,bugku web前20道,文件上传打不开网页没做 题目 web2 一堆滑稽动图…查看源码,右键没有查看源码(可能被禁用了),ctrl+u查看源码拿到flag 计算器 一个验证码码框第一反应是验证码绕过,但输入的时候发现限制输入,使用Noscript来禁js发现不行,根本就与服务器进行通信。看来是要看js了,找到js代码(最烦代码审计了,j...
Bugku-网站被黑
小水池
08-10 6万+
网站被黑 http://120.24.86.145:8002/webshell/ 这个题没技术含量但是实战中经常遇到 解题思路: 打开链接是一个黑页,链接后面加index.php判断是PHP,而题目提示实战中经常遇到,那就开御剑扫描后台吧  扫描出shell.php,打开链接是一个webshell,尝试admin等弱密码无效后  开burp进行爆破,这里选择Simple l...
搭建一个全新CTF靶场平台
微风飘呀飘
03-13 9762
0x00 前言 由于疫情原因,在家闲着无聊,给学弟学妹搭一个CTF平台,所以去研究研究CTFD,但是我没有在我可怜的阿里学生机上跑起来,无奈之举,立志要写一个CTF平台。写了一个前端还算糊弄的CTF平台。可能还有好多BUG没有发现,但是目前主要功能还是可以使用的,适合举办中小型比赛! 网站架构: 前端:Materialize CSS +jQuery + 部分Bootstrap,采用 Htm...
bugku-本地包含(文件包含漏洞)
烟敛寒林的博客
09-04 1万+
方法一:eval存在命令执行漏洞,使用hello构造payload http://120.24.86.145:8003/index.php?hello=1);show_source(%27flag.php%27);var_dump(3 方法二: http://120.24.86.145:8003/index.php?hello=1);include $_POST['f']...
BugkuCTF - 练习平台 - WEB——Writeup
今天吃什么
02-14 1403
1.web2 F12直接查看 2.计算器 发现可输入字符的最大长度为1,可以根据情况改长 3.web基础GET∗∗![在这里插入图片描述](https://img−blog.csdnimg.cn/20190214190622763.png)直接在地址栏传参‘what=flag‘即可![在这里插入图片描述](https://img−blog.csdnimg.cn/201902141907414...
适合新手的CTF靶场合集
eli的博客
10-20 6801
CTF 比赛时间表 CTFwiki(入门必看wiki):https://ctf-wiki.github.io/ctf-wiki/#/introduction XCTF社区:https://time.xctf.org.cn i春秋:https://www.ichunqiu.com/competition CTFrank:https://ctfrank.org/ CTFtime(基本...
BugkuCTF——web篇writeup(持续更新)
热门推荐
过客璇璇的博客
03-23 6万+
BugkuCTF——web篇writeup 平台网址:http://ctf.bugku.com/ 平台首页: web2 网址链接:http://120.24.86.145:8002/web2/ 页面: 一看只有好多滑稽,分数也不太高,应该不是很难,F12打开开发者工具看一下 得到ctf:flag KEY{Web-2-bugKssNNikls9100} 文件上传测试 链...
BugkuCTF之web题之这是一个神奇的登陆框
A_dmin的博客
12-09 9972
BugkuCTF之web题之这是一个神奇的登陆框 打开网页之后发现: 随便输入账号和密码出现: 那就开始寻找注入点吧,输入0’发现还是: 输入0" 发现报错: 确定可以注入,判断字段有多少个 0"order by 1,2,3# 发现: 说明有两列。 输入 0" union select database(),2# ,得到库名: 继续输入 0" union select table_na...
chatgpt-wechatbot@1.0.0 dev: `node --loader ts-node/esm --inspect ./src/inde
05-08
chatgpt-wechatbot是一个基于微信平台的聊天机器人项目,是一个版本为1.0.0的开发版本。它的字符串“dev: `node --loader ts-node/esm --inspect ./src/inde”是一个命令,可以通过命令行对该项目进行调试。下面我来对其中的几个参数进行解释。 第一个参数是“--loader”,这个参数是告诉Node.js去加载指定的loader。这个项目中使用的是ts-node/esm这个loader,它是一个支持TypeScript的Node.js插件,可以让Node.js更好地解析ES模块规范,而不需要像以前那样手动编写转换代码。 第二个参数“--inspect”是告诉Node.js开启调试模式。这个参数是调试Node.js应用的重要参数,它会在端口号为9229的本地网络上开启调试进程,并等待一个调试器连接。这样就可以使用VSCode或其他调试工具,对代码进行断点调试,更方便地分析和解决问题。 第三个参数“./src/index”是告诉Node.js要从这个路径下加载应用程序的入口文件。这个项目的入口文件应该在src目录下的index.ts文件中。 综上所述,执行这个命令将会以开发模式启动chatgpt-wechatbot项目,并在本地网络上开启调试进程,方便开发者查找和解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值