命令注入执行分析
难易程度:★★★
题目类型:命令执行
使用工具:FireFox浏览器、burpsuite
1.打开靶场,ping一下127.0.0.1,正常显示。
2.打开burpsuite,再ping一下127.0.0.1,截包。
3.在127.0.0.1后加上管道符|和ls。
管道符的作用是命令A|命令B,即命令1的正确输出作为命令B的操作对象。
4.forward一下,显示文件。
5.把ls改为,cat key_1932128796334.php,显示空白。发现是过滤了空格。
我们使用<代替空格,绕过过滤。
6.forward一下,得到key。