CTF——ping相关

最新推荐文章于 2024-06-06 16:58:38 发布
最新推荐文章于 2024-06-06 16:58:38 发布
阅读量4.2k 收藏 26
点赞数 3
分类专栏: CTF零散技巧
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jklw4/article/details/108552103
版权

Ping

PING (Packet Internet Groper),因特网包探索器,用于测试网络连接量的程序 [1] 。
Ping是工作在 TCP/IP网络体系结构中应用层的一个服务命令, 主要是向特定的目的主机发送 ICMP(Internet Control Message Protocol 因特网报文控制协议)Echo 请求报文,测试目的站是否可达及了解其有关状态 [2] 。

检测是否可以注入

127.0.0.1;whoami
如果存在注入,得到的结果是“www-data”

ping 题目常过滤字符

‘$’
‘;’
‘|’
‘-’
‘(’
‘)’
‘反引号’
‘||’
‘&&’
‘&’
‘}’
‘{’

解决过滤

127.0.0.1;a="l";b="s";c=$a$b;$c(后面的部分可能会用引号包裹)

针对空格过滤,可以使用:
${IFS}
< (也被过滤了)
$IFS
$IFS$9

linux常用命令

完整的可以查看博客https://blog.csdn.net/luansj/article/details/97272672

  • 文件搜索
    find / -name file1 从 ‘/’ 开始进入根文件系统搜索文件和目录
  • 文件和目录
    cd /home 进入 ‘/ home’ 目录’
    cd … 返回上一级目录
    pwd 显示工作路径
    ls 查看目录中的文件
    ls -F 查看目录中的文件
    ls -l 显示文件和目录的详细资料
    ls -a 显示隐藏文件
  • 查看文件
    cat file1 从第一个字节开始正向查看文件的内容
  • 竟然对文件名进行了过滤
    在这里插入图片描述

练习题

ping ping ping

在这里插入图片描述
解题方法链接:https://blog.csdn.net/xiayu729100940/article/details/105048826

管道符

常见管道符
1、|(就是按位或),直接执行|后面的语句
2、||(就是逻辑或),如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句
3、&(就是按位与),&前面和后面命令都要执行,无论前面真假
4、&&(就是逻辑与),如果前面为假,后面的命令也不执行,如果前面为真则执行两条命令
这里没试出来flag,用cmd试一下:
5、;(linux下有的,和&一样的作用)
命令执行漏洞可以看这位师傅的博客:
http://www.ghtwf01.cn/index.php/archives/273/

jklw4
关注
  • 3
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF 解题 云演 ping
weixin_53488451的博客
01-08 449
输入http://88f9c597.clsadp.com/?ip=127.0.0.1%0acat%20fL4g_1s_He4r_______4.查看其文件得出flag。3.尝试查看,发现文件名。2.检查主机是否在线。
CTFping命令绕过及符号用法
Hardworking666的博客
10-13 9922
文章目录一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warnings.filterwarnings('ig..
CTF演练---ping
最新发布
2301_78637299的博客
06-06 444
CTF演练---ping--->只需要输入ip,就可以获取到你想要的
ctf-ping命令执行
qq_45414878的博客
11-08 9529
[GXYCTF2019]Ping Ping Ping 现在做一下关于常见的绕过ping执行其他命令的姿势,启动环境,连接并输入参数,查看当前目录下都有什么 ls命令没有被过滤,并且知道flag就在这个目录下面,用cat查看的flag的时候发现空格被禁用,绕过空格常用的方法有 {cat,flag.php} cat${IFS}flag.php cat$IFS$9flag.php cat<flag.php cat<>flag.php kg=$'\x20flag.php'&&c
经典ctf ping题目详解 青少年CTF-WEB-PingMe02
m0_73734159的博客
11-18 1466
如果想效率更更高,我们还可以自己生成Linux常见列出目录文件和查看文件等命令和常用字符以及关键字的字典,并使用BurpSuite进行爆破查看那个命令和字符以及关键字的过滤情况。'作为命令之间的连接符,当上一个命令完成后,继续执行下一个命令。当然Linux系统查看文件内容的命令还有很多,这里就举着三个例子了。因为f开头的文件只有flag这一个文件,所以查的就是flag。cat是Linux系统里面最常见的查看文件内容的命令。ls是Linux系统里面的列出目录文件的命令。查看根目录下flag文件的内容。
CTF入门笔记之ping
qq_37410729的博客
11-02 4152
1.用命令行找flag文件 随便ping,然后跟ls 例如:1;ls 发现index.php文件 1;cat index.php 查看发现就是源网站。 那就向上找 1;ls …/ 继续向上找 直到1;ls …/…/…/ 发现flag 打开 1;cat …/…/…/flag 得到flag 2.绕过过滤打开文件 同样,先查看目录 payload:?ip=1;ls 发现两个文件,尝试直接打开index文件(虽然知道肯定不行) payload:?ip=1;cat index.php 果然不行
CTF题目pingpingpongpong--获取flag
weixin_52937457的博客
03-17 1647
ctf获取flag入门
[pingCTF 2022] 难度有点大呀,就作了3个入门
weixin_52640415的博客
12-20 703
pingCTF 2022
CTF——攻防世界第一篇
01-08
昨天下午看了关于ctf的视频,发现自己什么也不懂,明明每个字都是我认识的中文,但是组合到一起就不明白了。「我好难……」 而且,看视频我似乎没什么的耐性,一下午下来还是发现自己没学到什么。所以,今天,我决定...
【HackPack CTF】 WEB——持续更新中
12-21
题目地址 ...打开是酱紫 sui便打开一个404找不到 先演示错误思路: Plan A.... 上bp抓包,Ctrl + I,爆破点为/后的数字比如1,sniper狙击手模式, ...playload 用runtime file ...换思路,找宝藏,要想有地图,hi
ctf逆向解题——re1-附件资源
03-05
ctf逆向解题——re1-附件资源
CTF题库超详细资源合集
06-14
ctf题库 CTF 题⽬类型⼀般分为 Web 渗透、RE 逆向、Misc 杂项、PWN ⼆进制漏洞利⽤、Crypto 密码破译。 在传统的CTF线上⽐赛中,Web类题⽬是主要的题型之⼀,相较于⼆进制、逆向等类型的题⽬,参赛者不需掌握系统...
CTF之GIF图片分离工具
02-23
misc方向直接GIF图片分离
ctfping命令执行绕过
m0_75178803的博客
10-10 945
相关wp参考在用linux命令时候,我们可以一行执行多条命令或者有条件的执行下一条命令方式:command1;command2用;号隔开每个命令, 每个命令按照从左到右的顺序,顺序执行, 彼此之间不关心是否失败,所有命令都会执行。方式:command1 | commandLinux所提供的管道符“|”将两个命令隔开,管道符左边命令的输出就会作为管道符右边命令的输入。连续使用管道意味着第一个命令的输出会作为第二个命令的输入,第二个命令的输出又会作为第三个命令的输入,依此类推。总之就是,
ctf】命令执行漏洞(二)
wlllllianqing的博客
10-15 327
命令执行漏洞(二) 命令执行无回显的判定方法 1.延时 2.http请求 3.dns请求 可使用ping请求,但是nc无法监听ping请求。 linux下的ping不会停止,windows下面的ping会停止 ping -c 3 xxx.xxx.xxx -c 3:ping3次 利用 1.写shell 2.http/dns等方式带出数据 '>'符号:将前面的命令生成的内容写到一个文件中 因为ping ip 是不能出现空格的,所以我们可以构造来消除空格 ...
【网络安全 | CTF】攻防世界 command_execution 解题详析
等风来
05-21 6048
ping 命令是一个常用的网络命令,用于测试两台计算机之间网络连接的连通性。通过向目标计算机发送 ICMP 协议的数据包,并等待目标计算机返回响应数据包来测试网络的可达性,同时也可以测试网络的延迟和丢包率等信息。本地回环地址是网络通信中的特殊地址,指向本机的网络接口,因此通过发送 icmp 数据包到该地址来测试网络连通性和延迟。如果 ping 命令不正确地处理其输入参数,就可能存在被攻击者利用来运行危险的命令的风险。2.ping+IP地址或主机域名+命令参数。3.ping+命令参数+IP地址或主机域名。
CTF关于ping命令注入问题(1)
热门推荐
欢迎来到神林的博客
03-07 1万+
题目样式 对于看到ping或者ping命令却没有弄waf时就要想到命令注入。 具体注入方法 看到ping命令就可以利用截断来执行新的命令。 首先测试所有的截断符号: ‘$’ ‘;’ ‘|’ ‘-’ ‘(’ ‘)’ ‘反引号’ ‘||’ ‘&amp;&amp;’ ‘&amp;’ ‘}’ ‘{’ '%0a’可以当作空格来用; 利用截断符号配合普通命令简单问题基本就出来; 例如:ip=127.0.0.1...
BUUCTF学习(5): 命令执行Ping
初尘屿风的博客
10-16 293
-
BUUCTF-练习场-Web(5-8)
m0_62905745的博客
10-26 1479
SQL注入的解题大概步骤,以及爆表爆库查字段 绕过空格,替换字符的方法 命令执行漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值