题目
小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗?
分析
Ping功能是一种测试网络连接的工具,它可以发送数据包到目标主机并等待确认是否收到回复。在这种情况下,指的是具有ping功能的软件或设备,但它没有编写防火墙(WAF)的功能。
WAF是一种网络安全工具,用于监视和过滤网络流量,以保护网络免受恶意攻击。因此,缺少WAF意味着系统可能更容易受到网络攻击。
结合题目命令执行我们应该猜到是PING命令与其他命令相结合执行查找
解题过程
先ping一个ip试一试
可以看到向 IP 地址 127.0.0.1 发送了3个 ICMP 回显请求,并接收到了3个回显响应。
接着尝试结合其他命令
命令执行漏洞可以尝试将多个命令结合执行,通常使用 | 或者 ; 结合命令。
尝试将该输入栏看作是系统中的cmd,而我们要做的就是结合ping命令与其他命令找出Flag
首先结合ls,展示所有的文件
操作成功
接着我们尝试查找Flag
find 路径 -name "文件名"
按文件名查找所有目录下的所有以flag为前缀的文件
find / -name "flag*"
查找如下:发现了flag.txt
接着我们使用cat查看文件内容(注意命令结合之间不要有空格)
cat /home/flag.txt