[ACTF2020 新生赛]Exec
一、题目简介
进入题目连接后,是一个ping的「功能」,我们输入ip地址或域名后可以使用ping命令「测试」网络的连通性
二、思路分析
这一关是一个「命令执行」漏洞,推荐使用「逻辑运算符」执行多条命令
可以使用的逻辑运算符有很多,比如 &|;
这里我们使用「逻辑或」 |,先查看当前路径下的文件,很明显flag不在这里。
接下来我们从「根目录」开始遍历目录。
发现了flag文件,接下来「查看」这个文件就可以了
三、解题步骤
1)遍历目录
查看「根目录」,发现flag文件,payload如下
1 | ls /
2)查看文件内容
「查看」flag文件,获取flag,payload如下
1 | cat /flag
四、总结
喜欢一个东西首先要先学会「尊重」,虽然网络安全的圈子不乏各种灰产,以及高调宣传自己是黑客的脚本小子,但不可否认,这个圈子仍有不少人保持着「举世皆浊我独清,众人皆醉我独醒」的心态,努力磨砺技术,提升自身修养,让互联网变得更加安全
![BUUCTF Web [极客大挑战 2019]Knife](https://ucc.alicdn.com/pic/developer-ecology/b876a3cf28e24348adca6741d3c05d9d.png?x-oss-process=image/resize,h_160,m_lfit)
![BUUCTF Web [极客大挑战 2019]Secret File](https://ucc.alicdn.com/pic/developer-ecology/9714360ef0bd4c3ca1b2b7feb2ddf4d4.png?x-oss-process=image/resize,h_160,m_lfit)
![BUUCTF Web [极客大挑战 2019]LoveSQL](https://ucc.alicdn.com/pic/developer-ecology/cf4d2a0772004d248aed8028c5b1569d.png?x-oss-process=image/resize,h_160,m_lfit)
![BUUCTF Web [ACTF2020 新生赛]Include](https://ucc.alicdn.com/pic/developer-ecology/c9e46fffffd5468fafdc81e8b0413437.png?x-oss-process=image/resize,h_160,m_lfit)
![BUUCTF Web [强网杯 2019]随便注](https://ucc.alicdn.com/pic/developer-ecology/9fb2652b223840e5829778589de567f0.png?x-oss-process=image/resize,h_160,m_lfit)
![BUUCTF Web [极客大挑战 2019]Havefun](https://ucc.alicdn.com/pic/developer-ecology/41fe434aa44143158221f67fac033dfa.png?x-oss-process=image/resize,h_160,m_lfit)