vulfocus靶场入门

vulfocus靶场入门

---

• 命令执行漏洞

题目描述：镜像信息
名称: vulshare/nginx-php-flag:latest
描述: 命令执行（Command Execution）漏洞即黑客可以直接在Web应用中执行系统命令，从而获取敏感信息或者拿下shell权限 命令执行漏洞可能造成的原因是Web服务器对用户输入命令安全检测不足，导致恶意代码被执行
解题步骤：打开题目进入环境

提示有index.php?cmd=ls /tmp，我们直接在url中输入即可


获得flag

• 目录浏览漏洞

题目描述：镜像信息
描述: 目录浏览漏洞属于目录遍历漏洞的一种，目录浏览漏洞是由于网站存在配置缺陷，存在目录可浏览漏洞，这会导致网站很多隐私文件与目录泄露，比如数据库备份文件、配置文件等，攻击者利用该信息可以更容易得到网站权限，导致网站被黑。 风险：攻击者通过访问网站某一目录时，该目录没有默认首页文件或没有正确设置默认首页文件，将会把整个目录结构列出来，将网站结构完全暴露给攻击者； 攻击者可能通过浏览目录结构，访问到某些隐秘文件（如PHPINFO文件、服务器探针文件、网站管理员后台访问地址、数据库连接文件等）。
解题步骤：
进入之后发现目录，在tmp/中发现flag