CTF小白从0开始日记(4)

最新推荐文章于 2024-06-06 16:58:38 发布
最新推荐文章于 2024-06-06 16:58:38 发布
阅读量273 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kofi6/article/details/110149827
版权

CTF小白从0开始日记(4)

2020-11-25
今天搞了一段时间总算搞明白了怎么用burpsuite。
官网的社区版本是阉割版,爆破功能两个两个往外蹦,根本没法用。所以还是要使用破解版的BP
我从学长那里拿到的2.1版本的BP,安装好Java8框架之后使用注册机激活,可以正常使用。
注意,这个破解版的(以及我估计网上大部分的破解版)都是适配Java8而不能使用Java15(目前最新版本)

好了,废话说完了开始写题

今天只写了一道题目,command_execution,题目描述是“小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。”

进去网页,F12,没有发现任何有价值的信息。果断退出看WP

说答案之前先说一下ping是什么

百度百科:ping
PING (Packet Internet Groper),因特网包探索器,用于测试网络连接量的程序。Ping是工作在 TCP/IP网络体系结构中应用层的一个服务命令, 主要是向特定的目的主机发送 ICMP(Internet Control Message Protocol 因特网报文控制协议)Echo 请求报文,测试目的站是否可达及了解其有关状态。

我们可以理解为,可以ping的

最低0.47元/天 解锁文章
kofi6
关注
CTF真题-Dest0g3CTF2022招新赛
06-01
CTF真题-Dest0g3CTF2022招新赛,来自BUUCTF
ctf-ping命令执行
qq_45414878的博客
11-08 9966
[GXYCTF2019]Ping Ping Ping 现在做一下关于常见的绕过ping执行其他命令的姿势,启动环境,连接并输入参数,查看当前目录下都有什么 ls命令没有被过滤,并且知道flag就在这个目录下面,用cat查看的flag的时候发现空格被禁用,绕过空格常用的方法有 {cat,flag.php} cat${IFS}flag.php cat$IFS$9flag.php cat<flag.php cat<>flag.php kg=$'\x20flag.php'&&c
CTFping命令绕过及符号用法
长期承接网络通信领域商务合作
10-13 1万+
文章目录一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warnings.filterwarnings('ig..
CTF入门笔记之ping
qq_37410729的博客
11-02 4341
1.用命令行找flag文件 随便ping,然后跟ls 例如:1;ls 发现index.php文件 1;cat index.php 查看发现就是源网站。 那就向上找 1;ls …/ 继续向上找 直到1;ls …/…/…/ 发现flag 打开 1;cat …/…/…/flag 得到flag 2.绕过过滤打开文件 同样,先查看目录 payload:?ip=1;ls 发现两个文件,尝试直接打开index文件(虽然知道肯定不行) payload:?ip=1;cat index.php 果然不行
经典ctf ping题目详解 青少年CTF-WEB-PingMe02
m0_73734159的博客
11-18 1859
如果想效率更更高,我们还可以自己生成Linux常见列出目录文件和查看文件等命令和常用字符以及关键字的字典,并使用BurpSuite进行爆破查看那个命令和字符以及关键字的过滤情况。'作为命令之间的连接符,当上一个命令完成后,继续执行下一个命令。当然Linux系统查看文件内容的命令还有很多,这里就举着三个例子了。因为f开头的文件只有flag这一个文件,所以查的就是flag。cat是Linux系统里面最常见的查看文件内容的命令。ls是Linux系统里面的列出目录文件的命令。查看根目录下flag文件的内容。
CTF——ping相关
jklw4的博客
09-12 4478
Ping PING (Packet Internet Groper),因特网包探索器,用于测试网络连接量的程序 [1] 。 Ping是工作在 TCP/IP网络体系结构中应用层的一个服务命令, 主要是向特定的目的主机发送 ICMP(Internet Control Message Protocol 因特网报文控制协议)Echo 请求报文,测试目的站是否可达及了解其有关状态 [2] 。 检测是否可以注入 127.0.0.1;whoami 如果存在注入,得到的结果是“www-data” ping 题目
CTF到工控安全.pdf
02-26
### 从CTF到工控安全 #### 工业的发展历程与工控安全演变 ##### 工业1.0:蒸汽驱动的时代 - **时间**:18世纪60年代至19世纪中期(约1760年至1850年)。 - **特点**:蒸汽机的发明标志着工业革命的开始,它取代了...
CTF从入门到提升(一).docx
12-18
CTF从入门到提升(一) CTF(Capture The Flag)是一种网络安全竞赛的形式,起源于西方传统运动,两军互相争夺旗帜,夺取敌军旗帜代表战败。在信息安全领域,CTF是通过各种攻击手法,获取服务器后寻找指定的字段,...
CTF中的密码学CryptoRSA学习资料,经典题型代码wp
03-22
适合人群:0基础CTF,喜欢密码学CTF,RSA 能学到什么:①Sagemath的使用②数论基础③针对RSA的攻击方式④RSA配套练习题 阅读建议:此资源CTF的RSA为主,不仅是针对原理的讲解也更注重原理和代码的讲解,所以在学习的...
CTF从入门到提升教学视频
01-28
CTF能够锻炼选手对一些漏洞的理解能力,对安全研究、渗透测试也有一定的作用。越来越多的企业招聘安全从业人员时都CTF有一定的要求。
CTF题目pingpingpongpong--获取flag
weixin_52937457的博客
03-17 1900
ctf获取flag入门
ctfping命令执行绕过
m0_75178803的博客
10-10 1107
相关wp参考在用linux命令时候,我们可以一行执行多条命令或者有条件的执行下一条命令方式:command1;command2用;号隔开每个命令, 每个命令按照从左到右的顺序,顺序执行, 彼此之间不关心是否失败,所有命令都执行。方式:command1 | commandLinux所提供的管道符“|”将两个命令隔开,管道符左边命令的输出就作为管道符右边命令的输入。连续使用管道意味着第一个命令的输出作为第二个命令的输入,第二个命令的输出又作为第三个命令的输入,依此类推。总之就是,
ctf】命令执行漏洞(二)
wlllllianqing的博客
10-15 350
命令执行漏洞(二) 命令执行无回显的判定方法 1.延时 2.http请求 3.dns请求 可使用ping请求,但是nc无法监听ping请求。 linux下的ping停止,windows下面的ping停止 ping -c 3 xxx.xxx.xxx -c 3:ping3次 利用 1.shell 2.http/dns等方式带出数据 '>'符号:将前面的命令生成的内容一个文件中 因为ping ip 是不能出现空格的,所以我们可以构造来消除空格 ...
BUUCTF【Web】Ping Ping Ping
qq_70434663的博客
03-02 860
首先使用ls命令查看当前路径下有那些文件,拼接符有“&”、“|”、“||”、“&&”、“;进入靶场后是一个ping的功能(命令执行漏洞),参数ip传递的内容被当做ip地址进行网络连通性测试。绕过空格后发现过滤了flag(绕过flag),所以使用反引号``(高优先级特性)查看flag.php。绕过后我们并没有发现flag,那是因为注释的内容不直接显示在页面中,右键查看源码就可以获取flag。接下来直接访问flag.php文件,直接访问PHP发现空格过滤了(绕过空格),所以我们使用$IFS$9来绕过空格。
网络安全 | CTF】攻防世界 command_execution 解题详析
等风来
05-21 6291
ping 命令是一个常用的网络命令,用于测试两台计算机之间网络连接的连通性。通过向目标计算机发送 ICMP 协议的数据包,并等待目标计算机返回响应数据包来测试网络的可达性,同时也可以测试网络的延迟和丢包率等信息。本地回环地址是网络通信中的特殊地址,指向本机的网络接口,因此通过发送 icmp 数据包到该地址来测试网络连通性和延迟。如果 ping 命令不正确地处理其输入参数,就可能存在被攻击者利用来运行危险的命令的风险。2.ping+IP地址或主机域名+命令参数。3.ping+命令参数+IP地址或主机域名。
BUUCTF学习(5): 命令执行Ping
初尘屿风的博客
10-16 340
-
CTF演练---ping
最新发布
2301_78637299的博客
06-06 619
CTF演练---ping--->只需要输入ip,就可以获取到你想要的
BUUCTF-练习场-Web(5-8)
m0_62905745的博客
10-26 1553
SQL注入的解题大概步骤,以及爆表爆库查字段 绕过空格,替换字符的方法 命令执行漏洞
CTF关于ping命令注入问题(1)
热门推荐
欢迎来到神林的博客
03-07 1万+
题目样式 对于看到ping或者ping命令却没有弄waf时就要想到命令注入。 具体注入方法 看到ping命令就可以利用截断来执行新的命令。 首先测试所有的截断符号: ‘$’ ‘;’ ‘|’ ‘-’ ‘(’ ‘)’ ‘反引号’ ‘||’ ‘&amp;&amp;’ ‘&amp;’ ‘}’ ‘{’ '%0a’可以当作空格来用; 利用截断符号配合普通命令简单问题基本就出来; 例如:ip=127.0.0.1...
ctf从0到1电子书
12-14
CTF从0到1》是一本针对CTF(Capture The Flag)竞赛的电子书,旨在帮助初学者快速入门和提高他们的技能。该书包括了CTF竞赛的基础知识、技巧和策略,并提供了详细的实例和实战练习,帮助读者从零开始逐步建立起自己的CTF技能。 该电子书首先介绍了CTF竞赛的概念和历史,并解释了CTF竞赛的基本流程和常见的攻击手法。接着,它深入解析了网络安全、逆向工程、加密和编程等相关的技术知识,帮助读者建立起坚实的基础。然后,书中提供了大量的实例和练习,让读者可以通过实践快速掌握所学的知识和技能。 通过该电子书的学习,读者可以逐步从CTF的入门级别进阶到中级和高级水平,掌握一系列解决问题的方法和技巧。并且,书中还强调了团队协作和解决问题的思维方式,帮助读者培养了解决实际问题的能力。 总的来说,《CTF从0到1》是一本非常实用的电子书,不仅可以帮助初学者快速入门CTF竞赛,还能帮助中级和高级选手提高他们的技能和水平。它准确把握了读者的需求,并通过丰富的实例和练习帮助他们从零开始建立起自己的CTF技能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值