web:[ACTF2020 新生赛]Exec

最新推荐文章于 2024-07-24 15:20:08 发布
最新推荐文章于 2024-07-24 15:20:08 发布
阅读量348 收藏
点赞数 2
分类专栏: BUUCTF-WEB 文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gsumall04/article/details/133188546
版权

背景知识

命令执行漏洞

linux命令

题目

打开题目,页面显示的是一个ping

尝试一下

查看源代码发现

尝试ping一下百度

由题目名可知这道题关于exec(命令执行),这里需要联想到可以多条命令执行

输入baidu.com;ls

尝试;号是否能够执行成功,结果如图所示,两条命令都被执行了,可以证明没有做一些过滤,可以利用这点读取文件,查找flag文件

输入baidu.com;ls -al /,结果如图所示,d开头代表就是目录,没有d就代表文件

使用cat命令查找flag,得到flag

总结

exec为命令执行漏洞,存在多条命令执行

;              # 分号隔开每条命令,整行命令按照从左到右的顺序执行,彼此之间互不影响,所有的命令都会执行。

|              # 只执行后面那条命令。

||             # 只执前面那条命令。

&             #两条命令都会执行。

&&           # 两条命令都会执行。

sleepywin
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
潞安矿区高河井田构造样式探讨
06-24
高河井田位于沁水块坳东南部,主要含煤地层包括二叠系下统山西组和石炭系上统太原组,构造要素走向总体为近SN—NNE向。通过对高河井田构造的系统分析,划分了两大类三亚类主要构造样式,并结合实例分析了各种构造样式对...
Jeopardy-Writeups:SniperOJ的CTF挑战比
05-18
SniperOJ的挑战文章和源代码描述平台...─ pwn│ ├── pwn100-bof-x86-64│ ├── pwn100-shellcode-x86-64│ ├── pwn150-static-x86-64│ ├── pwn200-actf-run-circles│ ├── pwn200-shorter-shellc
[ACTF2020 新生]Exec1
a5658442的博客
10-15 513
思路1.sql注入2.命令漏洞输入本题考虑第二种。
Buuctf-Web-[ACTF2020 新生]Exec 题解&思路总结_actf新生
2401_84968101的博客
05-16 418
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
BUUCTF Web [ACTF2020 新生]Exec
热门推荐
wangyuxiang946的博客
10-27 1万+
「作者主页」:士别三日wyx   此文章已录入专栏《网络攻防》,持续更新热门靶场的通关教程 「未知攻,焉知收」,在一个个孤独的夜晚,你完成了几百个攻防实验,回过头来才发现,已经击败了百分之九十九的同期选手。 [ACTF2020 新生]Exec一、题目简介二、思路分析三、解题步骤1)遍历目录2)查看文件内容四、总结 一、题目简介 进入题目连接后,是一个ping的「功能」,我们输入ip地址或域名后可以使用ping命令「测试」网络的连通性 二、思路分析   &nbs.
[ACTF2020 新生]Exec
Knsec
05-13 2480
[ACTF2020 新生]Exec 正常输入一个ip地址进行ping操作,然后使用BP抓个包看看 先试试最常见的命令执行 发现正常的回显了,可以利用 cat 的命令 Linux常用命令 查看 flag 文件。 [SUCTF 2019]EasySQL 抓个包看看 初次测试,发现这里是存在 数字型注入 的,然后又发现很多的关键字都被过滤了 最后发现,可以使用show,进行堆叠注入,但是发现 flag 和 from 也都被过滤掉了 无奈的我就去找 writeup
BUUCTF[ACTF2020 新生]Exec1
2201_75556700的博客
01-21 441
4.发现有个flag文件,开始查看输入127.0.0.1|cat /flag,得到flag。3.利用管道符查看目录输入127.0.0.1|ls /或者1 | ls /查看目录。2.需要输入地址,尝试输入127.0.0.1,出现下面这个提示,看不懂,没关系。
[ACTF2020 新生]Exec 1
qq_43618536的博客
07-01 900
BUUCTF的[ACTF2020 新生]Exec 1
buuctf [ACTF2020 新生]Exec1
2302_80009791的博客
02-12 565
本题考查linux命令,越权查询。
buuctf-web入门-[ACTF2020 新生]Exec 1
2301_80137226的博客
03-24 367
我们首先尝试一下ping本机127.0.0.1(本地回环地址)然后我们尝试看一下flag下是否还有目录。然后再遍历目录,查找我们需要的flag。当../../../时发现flag。我们尝试127.0.0.1;在此之前先了解一下常用的命令。可以看到没有过滤分号和ls。大致判断这道题没有过滤。我们再尝试打开flag。一道简单的命令注入题。
[ACTF2020 新生]Exec1命令注入
旺仔Sec&blog
11-04 2314
[ACTF2020 新生]Exec1命令注入
matlab的90个实例.rar_actf8x_matlab基础知识的90个实例
09-24
MATLAB(Matrix Laboratory)是一种强大的数学计算软件,广泛应用于工程计算、数据分析、算法开发和图形化界面构建等领域。本资源“matlab的90个实例.rar”提供了MATLAB的基础知识,通过90个实例帮助初学者掌握其...
PPJEmailPicker:UITextField替换以选择多个电子邮件
05-16
(PPJEmailPicker *) createAutoCompleteFieldWithFrame:( CGRect )frame{PPJEmailPicker * actf = [[PPJEmailPicker alloc ] initWithFrame: frame];actf. pickerDelegate = self;actf. possibleStrings = [...
NTFS文件系统分析
09-19
NTFS文件系统分析,比较详细的介绍,各个元文件的定义,偏移
网络安全常见错误及解决办法(更新中)
qq_42041946的博客
07-22 525
设置一下wwwtest访问权限做负载均衡使用火狐浏览器访问一直访问一个页面,使用谷歌就正常两个也轮换,是火狐浏览器的问题在nginx的配置文件里改站点根目录,但是网页报了403 Forbidden,重安装了个centos也不行强制刷新过了,改回相对路径html才可以。答:403就是没有权限 再/web这个文件夹下chown -R nginx:nginx .(如果不行就看看你的selinux 有没有关闭,vim /etc/selinux/config 看看是不是disabled。
等级保护 总结2
最新发布
qq_25467441的博客
07-24 418
FireHunter 6000是华为公司推出的高性能APT威胁检测系统,利用多引擎虚拟检测技术以及传统的安全检测技术,基于行为特征检测,识别网络中传输的恶意文件和C&C攻击,有效避免未知威胁攻击的扩散和企业核心信息资产损失。AntiDDoS管理等功能,支持安全功能服务化、可视化,协同网络、安全设备和大数据智能分析系统形成全面威胁感知、分析和响应的整网主动安全防护体系。安全态势感知系统协同网络和安全实现威胁自动近源处置,提升威胁处置效率,缩小威胁横向扩散的范围,降低威胁对业务的影响。
网络安全相关竞
黑战士的博客
07-18 985
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞网站链接(2023版)关键字:比、CTF、事、技能挑战。浙江省大学生网络与信息安全。全国网络安全行业职业技能大。湖南省“网安湘军杯”
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值