[LitCTF 2023]Ping ------清风

于 2024-08-08 16:03:31 发布
阅读量231 收藏 1
点赞数 9
文章标签: javascript 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71913298/article/details/141027881
版权

目录

[LitCTF 2023]Ping

------这个题目用到了前端限制

F12打开禁用JavaScript

成功获取flag

总结:

[LitCTF 2023]Ping

题目没有写多少,自己的问题倒是一大堆,

有点难受啊,好久没有写WP了,这篇文章记录自己刚刚遇到的新题型

------这个题目用到了前端限制

前端有限制,众所周知前端的限制只是为了前端用户可以输入有效的数据,让后端减小开销,更好的处理数据。

进入靶场,简单又普通

进来直接ping 127.0.0.1;ls(这里的127.0.0.1我就不过多解释了,解题常用记住就行)

payload:127.0.0.1;ls

返回一个JS的弹窗(我解题时就停在这里了,以为是过滤了什么东西,一直只有一个弹窗)

这里需要禁用前端JavaScript,关闭弹窗达到命令输出效果,我这里使用burp抓包也没有效果,请求包发不出去

前端禁用JavaScript方法有两个

①F12打开禁用JavaScript

②使用禁用JavaScript插件---使用火狐插件YesScript2(这里仅代表火狐玩家)

F12打开禁用JavaScript

首先F12进入注意右上角关闭的位置,不是这个齿轮设置

点击那三个点,进入设置

然后可以看见禁用JavaScript

继续解题

payload:127.0.0.1;ls /

payload:127.0.0.1;cat /flag

成功获取flag

总结:

1.本题目主要是前端绕过,即禁用JavaScript

2.127.0.0.1这本地地址是否熟悉

3.命令执行读取文件

 

清风.春不晚
关注
  • 9
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux ping -w 命令,Linux ping 命令
weixin_39711959的博客
05-13 3153
Linux ping 命令Linux ping 命令用于检测主机。执行 ping 指令会使用 ICMP 传输协议,发出要求回应的信息,若远端主机的网络功能没有问题,就会回应该信息,因而得知该主机运作正常。语法ping [-dfnqrRv][-c][-i][-I][-l][-p][-s][-t][主机名称或IP地址]参数说明:-d 使用Socket的SO_DEBUG功能。-c 设置完成要求...
LitCTF-2023-web部分
m0_74097148的博客
05-18 1841
也有多种解法,当然如果上传有黑名单限制 但是远程下载没有 则可以用远程下载去下载PHP木马文件,然后剩余的步骤和上传木马的操作一样 不多做说明。并且题目提示我们只有username, password两列, 不需要group by去判断列数了。输入如下图的内容, 下载后点击编辑文件即可看到flag。如果想要了解更多关于http头部的信息可以参考。
NSSCTF-[LitCTF 2023]Ping-详解
chinese_cabbage0的博客
02-03 493
nssctf的基础web题目,解析详细,大家解题遇到问题可以参考一下!!
linux的ping命令-l参数,linux下 ping命令参数
weixin_34304211的博客
04-29 3335
linux下 ping命令参数表1 ping命令参数(linux)参数描述-c count在收发指定的count个数目的报文后停止-d在套接口设置so_debug-f尽可能快地发送报文-i wait设置连续报文发送时报文间的发送时间间隔(单位为秒)-i ?device?设置输出接口-l preload尽可能快地发送预载的报文,然后再返回到正常发送模式-n不查寻主机名,仅仅给出ip地址值-p pat...
ping工具-服务器维护
11-15
"ping工具"是网络诊断中不可或缺的一个实用程序,主要用于测试网络连接的连通性和测量数据包从源到目的地的往返时间。在服务器维护过程中,它扮演着至关重要的角色,帮助管理员快速定位网络问题,确保服务的稳定运行...
python-ping:python ping
05-03
Python平使用python raw套接字Ping usage: sudo ping.py [-h] [--version] [-c COUNT] [-t TTL] [-s PACKETSIZE] [--timeout TIMEOUT] hostpositional arguments: host Target hostoptional arguments: -h, --help ...
window下可用的arp-ping工具
01-03
ARP-Ping工具在Windows操作系统中的应用 在计算机网络中,ARP(Address Resolution Protocol,地址解析协议)是一个重要的底层协议,用于将IP地址映射到物理MAC地址,以便数据能够在网络中正确传输。ARP-Ping是一种...
ping-me:跨平台的个性化Ping
02-01
ping-me的ping-me在于它的命令行界面。 在您喜欢的终端屏幕上,仅需通过一条命令行即可完成所有提醒。 无论您是否在线, ping-me都一定会在那时ping您。 在最坏的情况下,它将在您的电话设备,智能手表甚至SMS上...
http-ping工具
12-03
-h header-line Pass the given header line as-is in each ping request. For example, add a host header like this: -h \"Host: www.site1.com\" Be sure to surround the header-line with quotes. You can ...
牛客JS题(二十一)数组扁平化
不起眼小菜菜的博客
08-04 847
注释很详细,直接上代码……
SpringBoot+Vue图书(图书借阅)管理系统-附项目源码与配套文档
m0_74283290的博客
08-03 1290
本论文阐述了一套先进的图书管理系统的设计与实现,该系统采用Java语言,结合现代Web开发框架和技术,旨在为图书馆提供高效、灵活且用户友好的资源管理解决方案。系统利用Spring Boot框架为核心,整合MyBatis ORM工具,以及MySQL数据库,构建了一个高性能、可扩展的后端服务。前端界面则采用了Vue.js框架,以提供流畅的用户交互体验。论文首先进行了详尽的需求分析,确定了系统的核心功能,包括图书的添加、编辑、删除、查询,读者的注册、登录、个人信息管理,以及图书的借阅、归还、续借流程。
vite静态资源处理,处理vite项目中src和url路径问题
WanweI897的博客
08-02 536
处理vite项目中src和url路径问题
我们的前端开发逆天了!1 小时搞定了新网站,还跟我说 “不要钱”
努力做最接地气的编程干货分享,感谢关注
07-29 2939
本文将带你了解一个新的 Web 框架 **Astro**,并手把手带你使用 Astro 搭建一个属于自己的站点,用过的都说真香!
社交媒体分享预览图片和内容修改
最新发布
wangweiscsdn的博客
08-06 197
社交媒体分享链接时的预览图片和内容
Pinia和vueX的区别是什么,刷新数据丢失怎么处理?
ggq53219的博客
08-01 490
Pinia和Vuex都是Vue.js生态系统中的状态管理库,它们在设计理念、使用方式、性能以及生态系统支持等方面存在一些差异。以下是对Pinia和Vuex主要区别的详细分析,以及处理数据刷新丢失问题的建议。
正则采集器之六——商品管理
简单,坚持
08-05 390
本文是项目实践文章"正则采集器"之五"商品管理",后端采用框架SpringBoot,前端采用框架vue3-element-admin。
探索 Electron:打造深度书籍挖掘机的搜索体验
ztK63LrD的博客
08-03 422
Electron是一个开源的桌面应用程序开发框架,它允许开发者使用Web技术(如 HTML、CSS 和 JavaScript)构建跨平台的桌面应用程序,它的出现极大地简化了桌面应用程序的开发流程,让更多的开发者能够利用已有的 Web 开发技能来构建功能强大且跨平台的应用程序,这对于提升开发效率和应用程序的快速交付具有重要意义。
【Material-UI】Autocomplete 组件的局限性(Limitations)详解
lph159的博客
08-05 695
在某些情况下,您可能需要为 Autocomplete 组件提供自定义的。此时,务必确保滚动容器具有属性。这样可以确保在使用键盘导航时,滚动行为的正确性。虽然 Material-UI 的 Autocomplete 组件提供了强大的功能,但开发者在使用时需要注意其一些局限性。通过合理设置组件属性和处理可能出现的问题,可以提升组件的用户体验和可访问性。希望本文能帮助您更好地理解和应用 Autocomplete 组件中的局限性。如果您有任何问题或建议,欢迎交流探讨。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值