命令注入题型
ping:网络工具,用于测试主机之间的连通性。通过向目标主机发送 ICMP(Internet Control Message Protocol)数据包并等待回应来检查网络连接
题目如下:
输入命令,尝试在ping命令之后注入ls命令
127.0.0.1;ls
127.0.0.1:一个特殊的IP地址,被称为 “本地回环地址”,这个地址指向本地计算机本身。当向这个地址发送数据包时,数据包不会离开计算机,而是在本地网络栈中循环返回,用于测试本地网络配置是否正确
ls:是一个在类Unix系统(如 Linux 和 macOS)中常用的命令,用于列出当前目录下的文件和目录,它会显示文件名、文件类型、权限、所有者等信息
可以看到返回为:
发现没有过滤;和ls
下一步进行目录遍历
127.0.0.1|ls ../
| 管道符,上一条命令的输出,作为下一条命令的参数(显示后面的执行结果)
127.0.0.1|ls ../../
127.0.0.1|ls ../../../
发现根目录中的flag
用cat命令获得flag
cat:是一个Unix命令,用于连接文件并打印到标准输出(通常是终端),也可以用于查看文件的内容
通过cat查看/flag文件路径
输入命令
127.0.0.1|cat /flag
得到flag
标签:ACTF2020,127.0,..,0.1,新生,命令,flag,ls,Exec1 From: https://blog.csdn.net/2401_86760082/article/details/144356193