目录
[LitCTF 2023]Ping
题目没有写多少,自己的问题倒是一大堆,
有点难受啊,好久没有写WP了,这篇文章记录自己刚刚遇到的新题型
------这个题目用到了前端限制
前端有限制,众所周知前端的限制只是为了前端用户可以输入有效的数据,让后端减小开销,更好的处理数据。
进入靶场,简单又普通
进来直接ping 127.0.0.1;ls(这里的127.0.0.1我就不过多解释了,解题常用记住就行)
payload:127.0.0.1;ls
返回一个JS的弹窗(我解题时就停在这里了,以为是过滤了什么东西,一直只有一个弹窗)
这里需要禁用前端JavaScript,关闭弹窗达到命令输出效果,我这里使用burp抓包也没有效果,请求包发不出去
前端禁用JavaScript方法有两个
①F12打开禁用JavaScript
②使用禁用JavaScript插件---使用火狐插件YesScript2(这里仅代表火狐玩家)
F12打开禁用JavaScript
首先F12进入注意右上角关闭的位置,不是这个齿轮设置
点击那三个点,进入设置
然后可以看见禁用JavaScript
继续解题
payload:127.0.0.1;ls /
payload:127.0.0.1;cat /flag
成功获取flag
总结:
1.本题目主要是前端绕过,即禁用JavaScript
2.127.0.0.1这本地地址是否熟悉
3.命令执行读取文件