[ACTF2020 新生赛]Exec1命令注入

已于 2023-05-27 17:18:44 修改
阅读量2.3k 收藏 2
点赞数 4
分类专栏: # CTF夺旗攻击 文章标签: 网络安全 web安全
于 2022-11-04 21:57:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50377269/article/details/127697186
版权

1.来看题目如下

 得到一个ping的输入框,老样子先检查网页源码看有没有什么好东西,得到一个链接,我们来访问一下

 

发现也没什么有用处的信息,于是看到题目的标题之后联想到了命令注入,

那么是怎么判断使用命令注入的呢;通过其他参考资料可以知道,可以通过不同语言包含的不同的代码来判断:比如:

在PHP中的以下函数就可能存在命令注入:

system

exec

shell_exec

passthru

这道题题目就含有提示exec,所以就考用命令注入来解题;

在python语言中含有可能命令注入的函数:

-*-command:system\popen\subprocess.call\spawn    

-*-code: map\filter\reduce\... 

# python 函数名可以直接作为普通函数的参数的,理论上,如果定义了这样的函数都危险def myreduce(funcname,param):

return funcname(param)

 在java中:

-*-command:java.lang.Runtime.getRuntime().exec(command)
 

 Linux ls 命令可以看目录文件,我们不知道文件目录有几层可以通过" ../ "返回上一级目录到根目录。

 

得出flag 

旺仔Sec
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
php使用exec shell命令注入的方法讲解
10-26
exec()是用于执行shell命令的函数,下面说的就是如何使用他用于shell注入的方法讲解
潞安矿区高河井田构造样式探讨
06-24
高河井田位于沁水块坳东南部,主要含煤地层包括二叠系下统山西组和石炭系上统太原组,构造要素走向总体为近SN—NNE向。通过对高河井田构造的系统分析,划分了两大类三亚类主要构造样式,并结合实例分析了各种构造样式对...
[ACTF2020 新生]Exec
siu~
08-28 680
[ACTF2020 新生]Exec 解题
[ACTF2020 新生]Exec 1
最新发布
weixin_63139305的博客
05-04 208
& 如果前面为假,后面的命令也不执行,如果前面为真则执行两条命令(顺序执行) #ls && whoami。|| 如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 #dir || whoami。&& 如果前面为假,后面的命令也不执行,如果前面为真则执行两条命令 #dir && whoami。|| 如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 #ls || whoami。&前面和后面命令都要执行,先执行前面的语句,无论前面真假 #ls & whoami。尝试使用管道符进行拼接。
BUUCTF-[ACTF2020 新生]Exec1
Monica的博客
09-11 3866
目录 题目: 分析: 知识点: 方法: 方法1:;前面和后面命令都要执行,无论前面真假 方法2:|(就是按位或),直接执行|后面的语句 方法3:||如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 方法4:&前面和后面命令都要执行,无论前面真假 方法5:&&如果前面为假,后面的命令也不执行,如果前面为真则执行两条命令 注意: 题目: 分析: 通过...
[ACTF2020 新生]Exec1
a5658442的博客
10-15 515
思路1.sql注入2.命令漏洞输入本题考虑第二种。
matlab的90个实例.rar_actf8x_matlab基础知识的90个实例
09-24
1. **矩阵运算**:MATLAB的基础是矩阵,它支持各种矩阵运算,如加法、减法、乘法、除法、转置、逆矩阵、求解线性方程组等。实例可能包括创建不同类型的矩阵(对角矩阵、单位矩阵、稀疏矩阵等),以及进行矩阵运算的...
Jeopardy-Writeups:SniperOJ的CTF挑战比
05-18
SniperOJ的挑战文章和源代码描述平台...─ pwn│ ├── pwn100-bof-x86-64│ ├── pwn100-shellcode-x86-64│ ├── pwn150-static-x86-64│ ├── pwn200-actf-run-circles│ ├── pwn200-shorter-shellc
NTFS文件系统分析
09-19
#### 1. 引言 NTFS(New Technology File System)是微软公司开发的一种先进的文件系统,旨在提供更好的容错性和安全性。随着Windows操作系统的不断演进,NTFS已经成为Windows NT系列操作系统(包括Windows NT 4.0...
光立方888 573 2803程序
06-14
1. 初始化:设置573和2803芯片的工作模式,如时钟频率、PWM占空比等。 2. 数据传输:编写代码将图像或动画数据发送到573芯片,由573将数据暂存并传送到对应的2803芯片。 3. 灰度控制:通过PWM技术控制2803芯片的输出...
【BUUCTF】[ACTF2020 新生]Exec 1
qq_45972928的博客
05-06 1977
这是一道命令注入题 知识点 1、命令注入我们要防备其对于一些符号的过滤导致我们不能成功注入,所以我们要多了解一些符号。 2、直接分号分隔,一条一条顺序执行 3、| 按位或 4、|| 逻辑或 让||左边是执行错误的,这样它太会执行||右面的(这是计算机的惰性机制,只要前面执行正确了就不会再执行后面的了) 5、& 按位与 &前面和后面命令都要执行,无论前面真假 6、&& 逻辑与 如果前面为假,后面的命令就不执行,如果前面为真则再执行后面命令,这样两条命令都会被执行 1、进入网
[ACTF2020 新生]Exec 1 命令注入
qq_58970968的博客
04-04 4098
题后总结: 关于命令注入; 刷题到目前为止,只知道一个sql注入,所以拿到一个非sql注入的题就会毫无办法; 对于网站的渗透测试来讲,远不止只有sql注入;参考博文CTF-web 第十三部分 命令注入_iamsongyu的博客-CSDN博客_ctf命令注入 总结到网站注入攻击有: 命令注入(Command Injection) Eval 注入(Eval Injection) 客户端脚本攻击(Script Insertion) 跨网站脚本攻击(Cross Site Scripting,XSS.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旺仔Sec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值