看到题目中这个输入需要ping的地址,就一下想起来再DVWA靶场做过的命令注入题(当然本题也有可能是sql注入,这取决于我们得到的回显)
之前DVWA的题是需要判断出源码未过滤哪些拼接符,然后我们就可以利用这些未过滤的命令拼接符执行命令。
DVWA靶场做过的命令注入
命令注入解释
为什么可以执行命令注入呢?原因是因为后台代码并未对用户输入的参数ip的值进行过滤就直接与ping命令进行拼接并执行 ,因此我们可以使用常见的命令拼接字符对命令进行拼接,如使用“&”,“|”,“&&”,“||”等,linux系统下还可以使用“;”,“``”。
先ping一下本地回环地址127.0.0.1,看到这个回显就可以将此题暂归入命令执行漏洞中了。(毕竟没有出现sql报错啥的)
根据以往经验,flag一般放在根目录下。所以我们使用常见的命令拼接字符对命令进行拼接,查询下根目录。
我们构造一下查询语句(本题命令拼接符我选了&&
和&
):
[一个ip地址] [命令拼接符] [访问根目录]
即127.0.0.1 && ls /
当然大家还可以选其他的命令拼接符,构造的语句也会不同,可以自己尝试。(有些命令拼接符可能被过滤掉了)
以下是常用的命令拼接符
命令拼接符&、&&、|、||等
命令拼接符:
|、||、&、&&的区别:
&:无论左边是false还是true,右边都执行
&&:具有短路效果,左边是false,右边不执行。
|:无论左边是false还是true,右边都会执行
||:具有短路效果,左边是true,右边不执行。
短路效果:
逻辑运算符的短路效果逻辑运算符当能得到结果时,就不会再继续运算右边的代码,以节省空间以及一定的性能,称为短路效果。
我们查到flag就在根目录下
接着我们来访问这个flag
但是这里要注意一点:如果我们直接输入
127.0.0.1 & cat flag
是访问不到flag的。原因是我们当前所在的目录并不在根目录下。查找一下当前所在的目录,我们在/var/www/html这个目录
而flag在根目录下,所以我们要输入cat /flag
我们输入127.0.0.1 & cat /flag
成功得到flag
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
/topics/618653875)
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!