BUUCTF-Web-命令执行-[ACTF2020 新生赛]Exec
题目链接:BUUCTF
类型:命令注入
知识点:命令拼接符(||、;、&&…)
解题过程
这道题目比较简单,打开发现是一个ping命令执行页面,使用post接受参数
测试命令拼接符";
"发现未进行过滤,拼接ls命令得到回显
target=127.0.0.1;ls
查看index.php源码发现目标未对参数进行任何过滤
target=127.0.0.1;cp index.php 1.txt
网页根目录未发现flag,这时可以尝试去/root目录或者根目录下找找,最后在根目录下找到flag,直接使用cat查看即可
cat /flag
vYJh-1646794766588)]