CTF小白从0开始日记(4)
2020-11-25
今天搞了一段时间总算搞明白了怎么用burpsuite。
官网的社区版本是阉割版,爆破功能两个两个往外蹦,根本没法用。所以还是要使用破解版的BP
我从学长那里拿到的2.1版本的BP,安装好Java8框架之后使用注册机激活,可以正常使用。
注意,这个破解版的(以及我估计网上大部分的破解版)都是适配Java8而不能使用Java15(目前最新版本)
好了,废话说完了开始写题
今天只写了一道题目,command_execution,题目描述是“小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。”
进去网页,F12,没有发现任何有价值的信息。果断退出看WP
说答案之前先说一下ping是什么
百度百科:ping
PING (Packet Internet Groper),因特网包探索器,用于测试网络连接量的程序。Ping是工作在 TCP/IP网络体系结构中应用层的一个服务命令, 主要是向特定的目的主机发送 ICMP(Internet Control Message Protocol 因特网报文控制协议)Echo 请求报文,测试目的站是否可达及了解其有关状态。
我们可以理解为,可以ping的