XCTF新手区 aconmand_execution

最新推荐文章于 2025-05-04 18:37:39 发布
原创 最新推荐文章于 2025-05-04 18:37:39 发布 · 173 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何使用管道符在Windows和Linux下执行命令,特别是结合find和cat命令查找并读取文件内容。通过示例展示了如何在命令行中输入127.0.0.1并利用管道符找到flag的位置,最终成功获取到flag:cyberpeace{8c9eeee21bdc0348a379e15e56c525a9}

CTF新手区 aconmand_execution

原理

【管道符】Windows或Linux下的命令行:

命令1 && 命令2:先执行命令1,如果为,再执行命令2

命令1 || 命令2:先执行命令1,如果为,再执行命令2

命令1 & 命令2:先执行命令2 ,后执行命令1

命令1 | 命令2:只执行命令2

【find&cat命令】

过程

  1. 输入一个地址“127.0.0.1”,ping一下:
    在这里插入图片描述
  2. 可以看到下面的信息,联想到是否可以用管道符执行命令搜索flag的位置127.0.0.1 | find / -name flag.xxx:

在这里插入图片描述

  1. 找到了flag的位置,继续用cat来读取flag的信息127.0.0.1 | cat /home/flag.txt

在这里插入图片描述

  1. 找到flag:cyberpeace{8c9eeee21bdc0348a379e15e56c525a9}
XCTF -- command_execution
yqya_的博客
04-29 302
XCCTF 中的 command_execution
XCTF攻防世界web新手练习_ 9_command_execution
silence1_的博客
04-29 5605
XCTF攻防世界web新手练习—command_execution 题目 题目为command_execution,是命令执行的意思,可见这道题应该跟命名执行有关。 打开题目,看到一个功能框,根据题目,是用来ping功能的。 首先先尝试ping一下127.0.0.1,成功ping通,并回显执行的命令为 ping -c 3 127.0.0.1 于是我们尝试用&&符号执行多个...
xctf Web_python_template_injection
Furukawado的博客
05-04 1123
先看题,翻译了一下是模版注入,然后使用插件看一下发现是flask框架,注入点应该是这个。百度搜了一下大概有两个一个xss一个文件读取/命令执行有两篇较为详细的文章(虽然我没看太明白,但是确实详细,鄙人只会简单的开发知道flask框架下传值是需要{{}}的。那么先按照xss试一下,不可行但是可以发现有报错回显,开始尝试文件读取/命令执行结果如下开始找类的对象:{{''.__class__}}继续寻找基类:{{''.__class__.__mro__}}
xctf command_execution
Furukawado的博客
05-04 121
这里用的管道符(还有其他的可以自行搜索)。有的时候可能会没反应可以多试几次或者,换别的命令。第一眼尝试的外带,在dnslog上试了一下没有反应只有地址,就不在尝试了。结果奇奇怪怪的不出来,本人实测加ping报错,或是换符号都可以。然后使用查找命令去找flag。出现了一大堆,直接看第一个好了。这就好办了,直接ls。
xctf web之 command_execution
L1ni01
08-06 300
打开题目 源代码也没东西 题目为 命令执行 并且题目提示没 waf 肯定就用到命令执行漏洞 先介绍一下 命令执行漏洞: 当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。 常见连接符 ;A;B 先执行A,再执行B & A&B 简单拼接,A B之间无制约关系 | A|B 显示B的执行结果 &&amp
XCTF_Web_新手练习:command_execution
1stPeak's Blog
06-13 6177
第十一题:command_execution 目标: 掌握有关命令执行的知识 windows或linux下: command1 & command2 :先执行command2后执行command1 command1 && command2 :先执行command1后执行command2 command1 | command2 :只执行command2 comman...
xctf very_easy_sql
qq_51796436的博客
09-16 1214
EZ个蛋
xctf中command_execution
recordliu的博客
01-28 363
观察题目, 对于看到ping或者ping命令却没有弄waf时就要想到命令注入。 看到ping命令就可以利用截断来执行新的命令。 首先测试所有的截断符号: ‘$’ ‘;’ ‘|’ ‘-’ ‘(’ ‘)’ ‘反引号’ ‘||’ ‘&&’ ‘&’ ‘}’ ‘{’ '%0a’可以当作空格来用; 利用截断符号配合普通命令简单问题基本就出来; 例如:127.0.0.1;cat /hom...
xctf baby_web
Furukawado的博客
05-02 359
尝试访问index.php,返回到了1.php。此时应该抓包分析,但是不知道哪根筋抽了我去扫描目录去了,扫出来两个index.php(感觉可能是软件出问题了)和一个1.php。找到flag{very_baby_web}
[XCTF]a_good_idea(难度1)
Mr_Fmnwon的博客
11-10 800
没有任何提示,就按部就班地从010editor(或者winhex)、binwalk查看有误隐写、foremost分解、stegsolve查看LSB隐写等一步步来,最终还是找到了flag~
【网络安全 | XCTF】2017_Dating_in_Singapore
等风来
12-29 3678
01代表1号 08代表8号 我们就能将其串联起来得到十二个字符。得到十二行,猜测对应一到十二月的日期。
XCTF 进阶 RE The_Maya_Society、Reversing.kr Music Player
A_dmin的博客
07-13 850
两道逆向题目XCTF 进阶 RE The_Maya_SocietyReversing.kr Music Player XCTF 进阶 RE The_Maya_Society 这道题目已经困惑我很久了,今天就把他解决了吧,,,,, 首先下载文件有三个,一个网页,一个elf文件,一个文件夹 打开网页没发现什么有用的东西,下载也下载不了,,,, 既然如此,那就直接分析elf文件吧,直接用ida打开,找...
XCTF_MOBILE5_easy-apk
一个热爱逆向,喜爱学习、分享的猿。
12-08 551
附件为一个apk,先拖到模拟器看看: 无法安装,先不管这个错误了,反编译看看。 修改apk扩展名为zip->解压->使用dex2jar对解压后的classes.dex文件进行反编译: 将反编译得到的jar文件拖进jd-gui,看MainActivity,MainActivity代码很简单: 核心就是这个if判断: if ((new Base64New()).Base64Encode(str.getBytes()).equals("5rFf7E2K6rqN7Hpiyush.
xctfcommand_execution
rrorb的博客
01-09 2472
解题思路及步骤 打开网页跳转到如下界面; 先尝试ping一下本地主机 ping 127.0.0.1 分析数据,ping发包3次,3次都收到了回复,TTL值为64,用时1998ms; 题目有一点小小的提示,command execution是命令执行漏洞的意思,因此我们可以从这里下手尝试利用命令执行漏洞拿flag; windows和Linux的命令连接符如下: |:command1|command2 直接执行command2 ||:command1||command2 只..
【顶级EI复现】【最新EI复现】基于共享储能服务的智能楼宇双层优化配置(Matlab代码实现)
11-25
【顶级EI复现】【最新EI复现】基于共享储能服务的智能楼宇双层优化配置(Matlab代码实现)
好大夫在线-问诊数据-医生ID:1010632293
最新发布
11-25
医生ID:1010632293的 2023-10-30 至 2025-11-21 的问诊列表数据
基于Python与OpenCV的实时人眼检测与眨眼状态识别系统实现
11-25
本指南详细阐述基于Python编程语言结合OpenCV计算机视觉库构建实时眼部状态分析系统的技术流程。该系统能够准确识别眼部域,并对眨眼动作与持续闭眼状态进行判别。OpenCV作为功能强大的图像处理工具库,配合Python简洁的语法特性与丰富的第三方模块支持,为开发此类视觉应用提供了理想环境。 在环境配置阶段,除基础Python运行环境外,还需安装OpenCV核心模块与dlib机器学习库。dlib库内置的HOG(方向梯度直方图)特征检测算法在面部特征定位方面表现卓越。 技术实现包含以下关键环节: - 面部域检测:采用预训练的Haar级联分类器或HOG特征检测器完成初始人脸定位,为后续眼部分析建立基础坐标系 - 眼部精确定位:基于已识别的人脸域,运用dlib提供的面部特征点预测模型准确标定双眼位置坐标 - 眼睑轮廓分析:通过OpenCV的轮廓提取算法精确勾勒眼睑边缘形态,为状态判别提供几何特征依据 - 眨眼动作识别:通过连续帧序列分析眼睑开合度变化,建立动态阈值模型判断瞬时闭合动作 - 持续闭眼检测:设定更严格的状态持续时间与闭合程度双重标准,准确识别长时间闭眼行为 - 实时处理架构:构建视频流处理管线,通过帧捕获、特征分析、状态判断的循环流程实现实时监控 完整的技术文档应包含模块化代码实现、依赖库安装指引、参数调优指南及常见问题解决方案。示例代码需具备完整的错误处理机制与性能优化建议,涵盖图像预处理、光照补偿等实际应用中的关键技术点。 掌握该技术体系不仅有助于深入理解计算机视觉原理,更为疲劳驾驶预警、医疗监护等实际应用场景提供了可靠的技术基础。后续优化方向可包括多模态特征融合、深度学习模型集成等进阶研究领域。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
51单片机c源码-闪烁灯二
11-25
51单片机c源码-闪烁灯二
机器常见故障和保养.docx
11-25
机器常见故障和保养.docx
xctf web_php_include
03-29
好的,用户需要了解XCTF竞赛中与PHP include相关的Web安全漏洞的解题思路。首先,我应该回忆PHP中的文件包含漏洞,尤其是include函数的不当使用可能导致的安全问题。用户提到的引用[4]中的代码显示,$lan变量直接...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值