XCTF Web 新手区011:command_execution

最新推荐文章于 2023-05-21 16:21:06 发布
最新推荐文章于 2023-05-21 16:21:06 发布
阅读量178 收藏
点赞数 1
分类专栏: CTF 文章标签: web ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44587962/article/details/105246570
版权

题目:
在这里插入图片描述
WP:
打开题目场景
在这里插入图片描述
尝试ping一下本地地址127.0.0.1
在这里插入图片描述
试使用命令连接符,因为我们知道flag在flag.txt中,所以我们查找该文件
127.0.0.1 & find / -name flag.txt

在这里插入图片描述
可以看到/home/flag.txt的字样
于是,我们打印这个文件127.0.0.1&&cat /home/flag.txt ,拿到flag:
(这里的cat命令用于查询文件内容)
在这里插入图片描述

Locking and Coding
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
CTF 刷题记录(二) command_execution(攻防世界)
qq_29566629的博客
07-28 988
题目 解题分析 进入网站,先ping 127.0.0.1 如图: 证明输入的指令可以在服务器里运行,然后再试试ls这种基础命令,使用“&&”命令,如图: 也可以执行。 写一个查询flag文件的脚本 import requests url = "http://220.249.52.133:30703/" list = ['bin', 'boot', 'dev', 'etc', 'home', 'lib', 'lib64', 'media', 'mnt', 'opt', 'proc',
ctf-攻防世界-webcommand_execution
一只菜鸟的博客
11-08 818
题目为命令执行,再看描述,写了ping功能却没有waf,四舍五入就相当于直接给了cmd啊 来到环境,先测试是linux还是windows。访问index.php,页面正常,更改大小写访问inDex.php,页面报错,显示乌班图搭建,大小写敏感,看来是linux稳了 随便输入一个ip地址,然后用 | 连接find命令查找所有带有flag名字的文件,第一个就是flag.txt 此处的*表示所有 *flag*意为所有带有flag的任意格式文件 使用cat命令查看flag.txt,出现f...
CTF | 网络安全】攻防世界 command_execution 解题详析
等风来
05-21 5653
[CTF/网络安全] 攻防世界 command_execution 解题详析
2016-02-03-ctf-command_execution命令拼接
Be Smart
03-17 373
layout: post title: “ctf-command_execution命令拼接” categories: [ctf] tags: [命令拼接] command_execution [原理] | 的作用为将前一个命令的结果传递给后一个命令作为输入 &&的作用是前一条命令执行成功时,才执行后一条命令 [目地] 掌握命令拼接的方法 [环境] windows [工具] firefox [步骤] 1.打开浏览器,在文本框内输入127.0.0.1 | find / -name "fl.
XCTF_Web_新手练习command_execution
1stPeak's Blog
06-13 5654
第十一题:command_execution 目标: 掌握有关命令执行的知识 windows或linux下: command1 & command2 :先执行command2后执行command1 command1 && command2 :先执行command1后执行command2 command1 | command2 :只执行command2 comman...
XCTF-2019-tfboys:XCTF 2019最终网络任务“ tfboys”的源代码
05-18
XCTF-2019-tfboys tfboys又名TensorFlow Boys 部署(Python3) pip install -r requirements.txt cd web3 python run.py 迪尔斯 web3/model/default/ : pre-trained LSTM model. exploit/exploit.ipynb : codes...
XCTF-RE】新手练习-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
XCTF-Mobile】新手练习-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
BUUCTF之Exec,攻防世界之command_execution
金 帛的博客
03-16 2062
BUUCTFWP
XCTF Web 新手010: webshell
立志成为最会敲代码的dancer,最会locking的程序猿
04-01 640
题目: WP: 观察一下页面,一句话内容,密码为shell 直接用中国菜刀跑一下 打开flag.txt文件 成功
XCTF Web 高手003: php_rce
立志成为最会敲代码的dancer,最会locking的程序猿
04-02 546
题目: WP: 看到题目就知道是thinkphp的远程执行漏洞 这里大家可以看一下这位大佬是末初呀~的博客,他对thinkphp的相关知识讲的很棒 我们直接上payload: http://111.198.29.45:45747/index.php? s=index/think\app/invokefunction&function=call_user_func_array&v...
XCTF Web 高手006: warmup
立志成为最会敲代码的dancer,最会locking的程序猿
04-05 418
题目: WP: 打开场景看到一张大大的滑稽.jpg 没有任何线索,只能选择看源代码 提示来了:source.php 添加到url后缀 一堆php代码,老样子,代码审计 hint.php是什么?访问一下 可见flag所在的文件名 这里有个小提示 文件名是四个f、l、a、g,所以在hint.php下会有四层目录才能找到文件 这是需要进行url编码构造payload(有效荷载) 附上一张url...
XCTF Web 高手001:baby_web
立志成为最会敲代码的dancer,最会locking的程序猿
04-02 311
题目: WP: 打开网页发现只有一句话 无论怎样修改URL的后缀都会跳转至1.php 此时直接F12查看源码 在Network目录下查看原地址的头信息 在响应头信息下找到flag 也可以直接burpsuite抓包查看,不过在本题下显然浏览器自带的检查更方便 ...
XCTF Web 高手007: NewsCenter
立志成为最会敲代码的dancer,最会locking的程序猿
04-06 270
题目:
XCTF Web 新手006:weak_auth
立志成为最会敲代码的dancer,最会locking的程序猿
04-01 238
题目: WP: 如图 其实就是考查弱口令的知识 试了admin 和123456对了,直接就拿到flag
XCTF Web 新手008:get_post
立志成为最会敲代码的dancer,最会locking的程序猿
04-01 223
题目: WP: 本题考察GET请求和POST请求 输入a=1 得到如下 这个时候再用hackbar提交b=2,即可得到flag get直接在url后输入 post可以用hackbar的post data输入
XCTF Web 新手002:robots
立志成为最会敲代码的dancer,最会locking的程序猿
03-16 213
题目描述: X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 解题过程: 1.访问题目给出的URL地址:http://111.198.29.45:44858/ 然而什么都没有 2.F12查看源代码,看注释,说明Flag 不在这里 3.根据Robots 协议,尝试在URL地址后面加上 /robots.txt 发现一个 disallow 里面有个...
pure_color xctf
最新发布
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值