每日1题

最新推荐文章于 2023-10-09 09:37:35 发布
最新推荐文章于 2023-10-09 09:37:35 发布
阅读量189 收藏
点赞数 1
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53142368/article/details/115639595
版权

command_execution

小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。
在这里插入图片描述
ping (Packet Internet Groper)是一种因特网包探索器,用于测试网络连接量的程序 。Ping是工作在 TCP/IP网络体系结构中应用层的一个服务命令, 主要是向特定的目的主机发送 ICMP(Internet Control Message Protocol 因特网报文控制协议)Echo 请求报文,测试目的站是否可达及了解其有关状态
ping127.0.0.1——这个Ping命令被送到本地计算机的IP软件,该命令永不退出该计算机。如果没有做到这一点,就表示TCP/IP的安装或运行存在某些最基本的问题, 回送地址Ping回送地址是为了检查本地的TCP/IP协议有没有设置好.
咱们ping一下本地地址127.0.0.1
在这里插入图片描述
我们查找flag.txt文件,flag在flag.txt中

127.0.0.1 & find / -name flag.txt

在这里插入图片描述
在/home/目录下,我们cat它

127.0.0.1 & cat /home/flag.txt

在这里插入图片描述

H0ne
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界command_execution详细
m0_74312676的博客
10-30 132
Web应用程序防火墙(Web Application。
攻防世界_WEB_新手练习区_DAY4
weixin_43898134的博客
04-10 205
command_execution 目描述:小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。 ping 是DOS命令,一般用于检测网络通与不通;是用来探测本机与网络中另一主机之间是否可达的命令,如果两台主机之间ping不通,则表明这两台主机不能建立起连接。ping是定位网络通不通的一个重要手段。 WAF:Web应用防护系统(也称为:网站应用级入侵防御系统。英文...
攻防世界web刷 新手区 command_execution 详细解!!!超详细
qq_39585393的博客
11-13 3612
command_execution 目 小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。 目分析与解思路 1.目提示,写了一个ping功能但是没有写waf,再加上目是command——execution(命令执行),推测应该是在ping的过程中夹杂了其他的命令导致文件泄漏。 2.ping哪个地址呢,要读取本地的文件,显然要ping本机的地址选择127.0.0.1 解: 1.先ping一下127.0.0.1看看返回值 成功返回结果,一共发送了3个包。 2.
2021-06-24CTF-攻防世界-WEB新手练习区(12入门
u258710的博客
06-24 2498
CTF-攻防世界-WEB新手练习区(12入门)01-view_source02-robots03-backup04-cookie05-disabled_button06-weak_auth07-simple_php08-get_post09-xff_referer10-webshell11-command_execution12-simple_js 01-view_source 目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 目提示查看网页源代码,但鼠标右键不管用
攻防世界web复习新手(11)
LGXJM20的博客
11-03 224
command_execution解思路 描述:小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗 思路:根据目和页面可以得知有ping功能且没有waf可以尝试直接命令注入 1.先尝试随便ping一个地址 有回显尝试拼接命令 找到了flag的位置cat查看就可以得到flag ...
2022高考二轮复习数学 每日1(第六周) .pdf
03-03
2022高考二轮复习数学 每日1(第六周) .pdf
2022高考二轮复习数学 每日1(第四周) .pdf.zip
03-03
2022高考二轮复习数学 每日1(第四周) .pdf.zip
2022高考二轮复习数学 每日1(第五周) .pdf
03-03
2022高考二轮复习数学 每日1(第五周) .pdf
2022高考二轮复习数学 每日1(第二周) .pdf
03-03
2022高考二轮复习数学 每日1(第二周) .pdf
2022高考二轮复习数学 每日1(第三周) .pdf
03-03
2022高考二轮复习数学 每日1(第三周) .pdf
初学ctf的目解析
07-07
初写ctf的一些方法
攻防世界目练习——Web引导模式(一)
最新发布
qq_48550824的博客
10-09 328
真正的检验应该只有后面判断是否为jpg/png文件,而且这个属于前端校验,就是只在前端上传页面进行检测,就算检测不通过文件也会被存储,只是会在前端将按钮灰掉不让上传,因此也可以通过修改前端代码的方式来取消文件上传后缀的限制。(又去搜了搜别人的解析思考了一下,这个replace应该并不是针对文件后缀的过滤吧,可能只是为了便于数据处理而进行的替换,并不是对上传的文件名的限制)Referer是从某个A网站显示的B网站的链接来访问B网站时,访问B网站的请求包里的Referer就是A网站的域名。
CTF关于ping命令注入问(1)
热门推荐
欢迎来到神林的博客
03-07 1万+
目样式 对于看到ping或者ping命令却没有弄waf时就要想到命令注入。 具体注入方法 看到ping命令就可以利用截断来执行新的命令。 首先测试所有的截断符号: ‘$’ ‘;’ ‘|’ ‘-’ ‘(’ ‘)’ ‘反引号’ ‘||’ ‘&&’ ‘&’ ‘}’ ‘{’ '%0a’可以当作空格来用; 利用截断符号配合普通命令简单问基本就出来; 例如:ip=127.0.0.1...
2020-04-16
qq_46970599的博客
04-16 208
CTF攻防世界之command_execution 目:小宁写了个ping功能,但没写waf,X老师告诉她这是非常危险的,你知道为什么吗? 1、打开链接,得到下图,在框内随便输入,我输入的是abc,再点击ping 2、输入根目录,点击ping,得到下图 3、一个个的试,过程很漫长,最终找到的是home,如下图 4、输入下图中标蓝的东西,便可得到flag 我有一个疑问:为什么abc后面要...
攻防世界web新手writeup
devilare的博客
09-09 2494
攻防世界web新手 1.view_source 目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 目场景: http://220.249.52.133:58537初级,按下F12查看网页源码得到flag 2.get_post 目描述:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗? 目场景: http://220.249.52.133:35963打开场景发现提示在域名栏输入**/?a=1**得到新的提示 这里我们可以用到一个火狐插件Max Ha
你知道PING功能是怎么实现的吗
weixin_30263277的博客
10-13 360
以太网的协议有层,而每层都包含有更多的协议。所谓协议,通俗的讲就是通信双方约定的规则。 今天我们介绍一些一个听起来陌生却有很常用的协议,ICMP协议。 —ICMP是(Internet Control Message Protocol)Internet控制报文协议。ICMP协议是一种面向无连接的协议,它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消...
攻防世界Web新手区
weixin_44522540的博客
02-18 1178
攻防世界Web新手区解 本周开始做攻防世界web新手区的内容。 一、View_source 目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 F12: 即可获得flag。当然也可以在地址栏前面加上view-source 二、Robots 目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 robots 是网站跟爬虫间的协议,用简单直接的 txt 格式文本方式告诉对应的爬 虫被允许的权限,也就是说 robot.
攻防世界we区newer
小学生的博客
11-27 306
WEB攻防区新手(任务3)(本周) 目:'攻防世界’新手区 1.view_source 目简介: 右键呼不出开发者模式,是JS禁用了鼠标右键,按F12快捷键调用即可。 相关代码段: document.oncontextmenu=new Function("return false ") document.onselectstart=new Function("return false ") flag: cyberpeace{f3e91a8ed66d353b8d7c6241cae2acc1} 2..
【网络安全 | CTF】攻防世界 command_execution 解详析
等风来
05-21 5897
ping 命令是一个常用的网络命令,用于测试两台计算机之间网络连接的连通性。通过向目标计算机发送 ICMP 协议的数据包,并等待目标计算机返回响应数据包来测试网络的可达性,同时也可以测试网络的延迟和丢包率等信息。本地回环地址是网络通信中的特殊地址,指向本机的网络接口,因此通过发送 icmp 数据包到该地址来测试网络连通性和延迟。如果 ping 命令不正确地处理其输入参数,就可能存在被攻击者利用来运行危险的命令的风险。2.ping+IP地址或主机域名+命令参数。3.ping+命令参数+IP地址或主机域名。
leetcode今日每日一
03-28
今日的每日一是「两数相加」(Add Two Numbers),编号为 2。 目描述 给出两个非空的链表用来表示两个非负的整数。其中,它们各自的位数是按照逆序的方式存储的,并且它们的每个节点只能存储一位数字。 如果...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值