[ACTF2020 新生赛]Exec1命令注入

1.来看题目如下

 得到一个ping的输入框,老样子先检查网页源码看有没有什么好东西,得到一个链接,我们来访问一下

 

发现也没什么有用处的信息,于是看到题目的标题之后联想到了命令注入,

那么是怎么判断使用命令注入的呢;通过其他参考资料可以知道,可以通过不同语言包含的不同的代码来判断:比如:

在PHP中的以下函数就可能存在命令注入:

system

exec

shell_exec

passthru

这道题题目就含有提示exec,所以就考用命令注入来解题;

在python语言中含有可能命令注入的函数:

-*-command:system\popen\subprocess.call\spawn    

-*-code: map\filter\reduce\... 

# python 函数名可以直接作为普通函数的参数的,理论上,如果定义了这样的函数都危险def myreduce(funcname,param):

return funcname(param)

 在java中:

-*-command:java.lang.Runtime.getRuntime().exec(command)
 

 Linux ls 命令可以看目录文件,我们不知道文件目录有几层可以通过" ../ "返回上一级目录到根目录。

 

得出flag 

  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旺仔Sec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值