[第三章][3.1.6 案例解析][GXYCTF2019]Ping Ping Ping

最新推荐文章于 2024-05-20 17:16:41 发布
最新推荐文章于 2024-05-20 17:16:41 发布
阅读量310 收藏 7
点赞数 8
分类专栏: buucft新手入门题自我记录 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79843470/article/details/136482875
版权

工具:Hackerbar   知识点:过滤关键字

打开靶机,如图所示

随便输入1时,如图所示,很明显是ping的回显,那么后端很有可能是通过了php接受了ip参数,这样就存在一个命令注入漏洞

当输入ls时,如图,发现有明显回显,并看到了flag.php

当试着用命令注入读取这个文件,出现fxck your space

根据提示可知,这里过滤了空格。而经过测试$IFS$9在这里没被过滤

但我们发现flag也被禁用了,并且经过测试发现只要出现*f*l*a*g四个字符就会被拦截

继续尝试绕过方法,Base64以及16进制绕过等,最后通过反引号配合base64绕过关键字检测,成功执行命令,打开前端代码得到flag,另附我用的一个解码网站:http://www.hiencode.com/

我想喝阔落。
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[GXYCTF2019]Ping Ping Ping {命令执行总结}
qq_42812036的博客
02-13 5861
0x00 知识点 命令注入 绕过空格、敏感字符、连接符 0x01 解题 方法一 内联执行 payload ?ip=1;a=f;d=ag;c=l;cat$IFS$a$c$d.php ps: 参数顺序要注意,adc换位acdflag会被检测出来:) 过滤了?/\{}()[]* 否则bash语法可以用“?”,正斜杠“/”,数字和字母来执行系统命令。 过滤空格 1.使用<或者<&gt...
LabVIEW2011程序设计与案例解析.zip
03-29
第40页 第3章 了解labview的数据类型 第40页 3.1 基本数据类型 第43页 3.1.1 数值型 第46页 3.1.2 布尔型 第46页 3.1.3 字符串型与路径 第47页 3.1.4 枚举型 第48页 3.1.5 簇 第48页 3.1.6 数组 第50页 3.2 特殊数据...
信息学竞赛宝典-基础算法视频讲解-第3章 枚举算法
03-15
信息学竞赛宝典--基础算法》,人民邮电出版社 c++基础算法视频讲解---第3章 第3章 3.1.1火柴棒等式.wmv 3.1.3加急密文.wmv 3.1.2求子集.wmv 3.1.4健康的奶牛.wmv 3.1.6破碎的项链.wmv 3.1.5排队.wmv 3.1.7选择客栈.wmv 3.1.9方块转换.wmv 3.1.8翻转棋盘.wmv 3.1.10派对灯.wmv 3.2.1快算24点.wmv 3.2.3时钟问题.wmv 3.2.4铺放矩形块.wmv 3.2.2翻转棋盘2.wmv 全书章节 第01章 模拟算法 第02章 递归算法 第03章 枚举算法 第04章 递推算法 第05章 分治算法 第06章 贪心算法 第07章 排序算法 第08章 高精度算法 第09章 搜索算法
可编程逻辑器件(EDA):第3章 VHDL设计初步-3.1.4-3.1.6节新课件-ST.ppt
06-11
可编程逻辑器件(EDA):第3章 VHDL设计初步-3.1.4-3.1.6节新课件-ST.ppt
CodeIgniter PHP开发框架 v3.1.6
11-28
CodeIgniter 是一个小巧但功能强大的 PHP 框架,作为一个简单而优雅的工具包,它可以为 PHP 程序员建立功能完善的 Web 应用程序。如果你是一个使用共享主机,并且为客户所要求的期限而
CTF_Web_[GXYCTF2019]Ping Ping Ping
十二_的博客
07-26 1652
表示上一条命令执行失败后,才执行下一条命令,如catnofile||echo“fail”表示前一条命令执行成功时,才执行后一条命令,如echo'1‘&&echo‘2’表示管道,上一条命令的输出,作为下一条命令参数,如echo‘yes’|wc-l。发现没有任何新的回显,应该是因为前面是假ping,所以后面的命令不执行。如上图,“||”会有效果—显示了两个后缀为“php”的文件名.文件,或许我们要找的flag就在其中。根据大佬解题的思路,我们来找文件,进行测试。...
[GXYCTF2019]Ping Ping Ping
qq_37466661的博客
08-27 3174
[GXYCTF2019]Ping Ping Ping CTF 命令执行
[GXYCTF 2019]Ping Ping Ping
m0_62422842的博客
05-08 7770
前言 最近在学习ssrf漏洞,这个漏洞的综合性还是挺强的。在网上看了大佬的文章总结的很详细。在此基础就通过实践相结合,更加深入的理解ssrf的具体操作。 SSRF漏洞 有一些函数比如
BUUCTF[GXYCTF2019]Ping Ping Ping
m0_47745762的博客
07-20 210
一、题目内容 在过滤中,运用Linux命令对其进行绕过 二、解题步骤 ①使用字符串拼接对其进行绕过 (1)进入靶机中 (2) 我们首先对他随便ping一下,看能得到什么信息 (3)发现能够成功运行,通过ls命令进行查找当前目录的文件 (4)发现当前目录下有两个文件,其中就有flag,我们通过cat命令对他进行访问 (5)然后它提示有空格,空格被过滤了,我们进行空格绕过 (6)然后提示符号{},{}符号也被过滤了,在使用其他的空格绕过 (7)然后提示flag也被..
Yearning SQL 审核平台 v3.1.6.zip
04-05
Yearning SQL 审核平台 v3.1.6.zip
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
NewsMash的博客
05-15 136
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题
dexunyun的博客
05-14 365
通过使用漏洞扫描VSS服务,我们可以及时发现网站存在的漏洞,有效降低网站漏洞的风险,保障网站安全,满足合规要求。文件上传漏洞是由于网站在处理文件上传功能时没有对上传的文件类型、大小等进行严格的验证和过滤,攻击者利用网站中的文件包含函数,将恶意文件或代码包含到网站中,从而实现远程代码执行或文件读取。网站安全是一个持续的过程,需要我们不断关注,通过及时发现存在的漏洞,我们可以针对性的处理,这样可以有效地减少网站安全漏洞的产生和危害,确保网站的安全稳定运行。同时,采用安全的编程语言和框架,减少漏洞的产生。
高效且安全的传输工具:FileLink跨网文件传输
m0_69398711的博客
05-14 466
同时,它还提供了权限控制功能,例如:文件打开次数、访问时间、禁止截屏、禁止复制、禁止打印、显示水印,有效防止了数据泄露和非法访问。然而,FileLink利用先进的网络技术和协议优化,成功打破了这一局限。它提供广泛的集成支持,权限组件、审批组件均开放API,可与企业现有IT系统充分集成,深度支撑与贯通企业跨网业务流程,致力于打造更全面的数据安全平台。综上所述,FileLink跨网文件传输以其出色的跨网络性能、安全性、多功能性、易用性以及集成扩展能力,成为了现代办公和日常生活中不可或缺的文件传输工具。
Web应用防火墙的重要性
最新发布
XRY_XIAO的博客
05-20 403
Web应用防火墙的重要性
富格林:梳理可信经验保障安全
fgl100的博客
05-13 243
通过多渠道的收集和分析找到市场的波动趋势,在根据趋势的变化进行交易。如果投资者对趋势变化没有把握的话,可以多留意正规专业的交易平台讯息,一般情况下都会给大家分享市场最新的走势变化,阅读贵金属知识课堂的文章就能够知道很多基本面消息,也能学到各种技术分析方法。富格林悉知,现货黄金被视作一种稳健的投资工具,因其对抗通货膨胀和政治不确定性的能力而备受青睐。如果处于亏损状态的时候,应该保持冷静,理性分析市场波动情况,如果亏损情况严重,应该及时离场保住自己的最大利益,重新调整心态再进场。
数智赋能内涝治理,四信城市排水防涝解决方案保障城市安全运行
rtu遥测终端机
05-20 313
四信城市排水防涝解决方案,采用先进的洪涝预测模型和智能监测设备,实现对城市内涝的精准预测和实时监控。方案通过智能化感知终端设备提升排水防涝智慧化水平,确保人民生命财产安全。四信的技术和服务已在多个城市内涝监测项目中得到应用,展现了其在城市安全运行保障方面的专业实力。
windowsgawk3.1.6怎么安装
01-28
要安装Windows版的gawk 3.1.6,您可以依照以下步骤进行操作: 1. 首先,您需要在网上搜索并下载gawk 3.1.6的安装程序,可以在官方网站或者可靠的软件下载网站上找到。 2. 下载完成后,双击安装程序,按照提示进行安装。 3. 在安装过程中,您可以选择安装的路径和其他相关设置,根据自己的需求进行选择。 4. 安装完成后,打开命令提示符(在开始菜单中搜索cmd),输入"gawk"并按下Enter键,确认gawk是否成功安装。 5. 如果一切顺利,您将看到gawk的版本信息和相关命令。这意味着gawk 3.1.6已经成功安装在您的Windows系统中。 总的来说,安装gawk 3.1.6并不复杂,只需下载安装程序,按照提示进行安装,然后确认安装是否成功即可。祝您安装成功!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值