CTF小白从0开始日记(4)

最新推荐文章于 2024-06-06 16:58:38 发布
最新推荐文章于 2024-06-06 16:58:38 发布
阅读量334 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kofi6/article/details/110149827

CTF小白从0开始日记(4)

2020-11-25
今天搞了一段时间总算搞明白了怎么用burpsuite。
官网的社区版本是阉割版,爆破功能两个两个往外蹦,根本没法用。所以还是要使用破解版的BP
我从学长那里拿到的2.1版本的BP,安装好Java8框架之后使用注册机激活,可以正常使用。
注意,这个破解版的(以及我估计网上大部分的破解版)都是适配Java8而不能使用Java15(目前最新版本)

好了,废话说完了开始写题

今天只写了一道题目,command_execution,题目描述是“小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。”

进去网页,F12,没有发现任何有价值的信息。果断退出看WP

说答案之前先说一下ping是什么

百度百科:ping
PING (Packet Internet Groper),因特网包探索器,用于测试网络连接量的程序。Ping是工作在 TCP/IP网络体系结构中应用层的一个服务命令, 主要是向特定的目的主机发送 ICMP(Internet Control Message Protocol 因特网报文控制协议)Echo 请求报文,测试目的站是否可达及了解其有关状态。

我们可以理解为,可以ping的网址就说明这个网址是可以与服务器链接的。
然后试一下题目给的容器的URL,ping之后发现没有反馈。再输入127.0.0.1,这个是本地回环地址,ping之后提示框给予了反馈。我的理解是,本地能够连接到容器,那么容器(服务器)必然可以对本地回环连接使用ping。

这里需要用到一个管道符和ls的概念,这两个都是Linux系统里使用的,对于服务器来说,要么是ubantu,要么是Linux

最低0.47元/天 解锁文章

200万优质内容无限畅学
kofi6
关注
网络安全 | CTF】攻防世界 command_execution 解题详析
等风来
05-21 8407
ping 命令是一个常用的网络命令,用于测试两台计算机之间网络连接的连通性。通过向目标计算机发送 ICMP 协议的数据包,并等待目标计算机返回响应数据包来测试网络的可达性,同时也可以测试网络的延迟和丢包率等信息。本地回环地址是网络通信中的特殊地址,指向本机的网络接口,因此通过发送 icmp 数据包到该地址来测试网络连通性和延迟。如果 ping 命令不正确地处理其输入参数,就可能存在被攻击者利用来运行危险的命令的风险。2.ping+IP地址或主机域名+命令参数。3.ping+命令参数+IP地址或主机域名。
CTFping命令绕过及符号用法
诚邀网络通信领域商务合作
10-13 1万+
文章目录一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warnings.filterwarnings('ig..
ctf-ping命令执行
qq_45414878的博客
11-08 1万+
[GXYCTF2019]Ping Ping Ping 现在做一下关于常见的绕过ping执行其他命令的姿势,启动环境,连接并输入参数,查看当前目录下都有什么 ls命令没有被过滤,并且知道flag就在这个目录下面,用cat查看的flag的时候发现空格被禁用,绕过空格常用的方法有 {cat,flag.php} cat${IFS}flag.php cat$IFS$9flag.php cat<flag.php cat<>flag.php kg=$'\x20flag.php'&&c
经典ctf ping题目详解 青少年CTF-WEB-PingMe02
m0_73734159的博客
11-18 3025
如果想效率更更高,我们还可以自己生成Linux常见列出目录文件和查看文件等命令和常用字符以及关键字的字典,并使用BurpSuite进行爆破查看那个命令和字符以及关键字的过滤情况。'作为命令之间的连接符,当上一个命令完成后,继续执行下一个命令。当然Linux系统查看文件内容的命令还有很多,这里就举着三个例子了。因为f开头的文件只有flag这一个文件,所以查的就是flag。cat是Linux系统里面最常见的查看文件内容的命令。ls是Linux系统里面的列出目录文件的命令。查看根目录下flag文件的内容。
CTF入门笔记之ping
qq_37410729的博客
11-02 4726
1.用命令行找flag文件 随便ping,然后跟ls 例如:1;ls 发现index.php文件 1;cat index.php 查看发现就是源网站。 那就向上找 1;ls …/ 继续向上找 直到1;ls …/…/…/ 发现flag 打开 1;cat …/…/…/flag 得到flag 2.绕过过滤打开文件 同样,先查看目录 payload:?ip=1;ls 发现两个文件,尝试直接打开index文件(虽然知道肯定不行) payload:?ip=1;cat index.php 果然不行
CTF——ping相关
jklw4的博客
09-12 4821
Ping PING (Packet Internet Groper),因特网包探索器,用于测试网络连接量的程序 [1] 。 Ping是工作在 TCP/IP网络体系结构中应用层的一个服务命令, 主要是向特定的目的主机发送 ICMP(Internet Control Message Protocol 因特网报文控制协议)Echo 请求报文,测试目的站是否可达及了解其有关状态 [2] 。 检测是否可以注入 127.0.0.1;whoami 如果存在注入,得到的结果是“www-data” ping 题目
CTF小白从0开始日记(3)
kofi的博客,已停更
11-21 222
CTF小白从0开始日记(3)软件安装webmisc 咕咕咕了好久,博主总算记起自己的优快云账号密码了(不是 最近有个校赛,看着奖品还有点吸引力,最重要的是表现好可以进校队打比赛!!想想还是有点小激动 因为咕了太久,今天要记录的东西还是有点多 软件安装 首先是BP和蚁剑我总算装上去了,之前学长给讲课的时候一直没装,干听也听不明白,上个周末总算装上去了,过程还是有点曲折。 首先BP(burpsuite)的安装,学长发了一个1.几的安装包,是破解版的,安装需要使用密钥,感觉挺麻烦的,于是自己去官网下载了一个社区
CTF小白的kali学习日记(1)
kofi的博客,已停更
01-16 1149
CTF小白的kali学习日记(1) kali虚拟机安装 VMware kali kali虚拟机安装 VMware 使用kali的第一步当然是要装kali虚拟机 不会真的有人把kali装在物理机上吧 这里我用的是VM ware,安装教程在这里,安装过程并不困难 镜像是一种文件格式,是为了后面使用虚拟光驱装系统准备的 kali VM安装好以后就要找kali的镜像了,kali的镜像可以在官网找到 跟着教程安装了好几遍,系统每次都安装上去了,但是总会出现这样那样的问题 大概是这.
CTF网络安全自学笔记
PlusOneOneOne的博客
04-09 1860
自学网络安全 ----CTF小白的学习笔记 这是我自学CTF的第一天,在我看来,不论是学习什么,你都要先把你所要学的东西的概念弄弄明白,这样你才能更好地规划接下来要走的路,那么,接下来我就简短的描述一下我经过自学所理解到的CTF。 1. CTF是什么? 它的全称是Capture The Flag,直译就是“夺取这面旗”,可以说已经非常生动形象的描述了这项比赛,也就是说,谁能够先解出这道题,谁就拿到...
BugkuCTF-WEB-第43题到第52题
Alita_lxz的博客
11-04 1354
BugkuCTF-WEB-第43题到第52题
CTF题目pingpingpongpong--获取flag
weixin_52937457的博客
03-17 2464
ctf获取flag入门
ctfping命令执行绕过
m0_75178803的博客
10-10 1501
相关wp参考在用linux命令时候,我们可以一行执行多条命令或者有条件的执行下一条命令方式:command1;command2用;号隔开每个命令, 每个命令按照从左到右的顺序,顺序执行, 彼此之间不关心是否失败,所有命令都会执行。方式:command1 | commandLinux所提供的管道符“|”将两个命令隔开,管道符左边命令的输出就会作为管道符右边命令的输入。连续使用管道意味着第一个命令的输出会作为第二个命令的输入,第二个命令的输出又会作为第三个命令的输入,依此类推。总之就是,
ctf】命令执行漏洞()
wlllllianqing的博客
10-15 452
命令执行漏洞() 命令执行无回显的判定方法 1.延时 2.http请求 3.dns请求 可使用ping请求,但是nc无法监听ping请求。 linux下的ping不会停止,windows下面的ping会停止 ping -c 3 xxx.xxx.xxx -c 3:ping3次 利用 1.shell 2.http/dns等方式带出数据 '>'符号:将前面的命令生成的内容一个文件中 因为ping ip 是不能出现空格的,所以我们可以构造来消除空格 ...
BUUCTF【Web】Ping Ping Ping
qq_70434663的博客
03-02 1089
首先使用ls命令查看当前路径下有那些文件,拼接符有“&”、“|”、“||”、“&&”、“;进入靶场后是一个ping的功能(命令执行漏洞),参数ip传递的内容会被当做ip地址进行网络连通性测试。绕过空格后发现过滤了flag(绕过flag),所以使用反引号``(高优先级特性)查看flag.php。绕过后我们并没有发现flag,那是因为注释的内容不会直接显示在页面中,右键查看源码就可以获取flag。接下来直接访问flag.php文件,直接访问PHP发现空格过滤了(绕过空格),所以我们使用$IFS$9来绕过空格。
CTF演练---ping
最新发布
2301_78637299的博客
06-06 973
CTF演练---ping--->只需要输入ip,就可以获取到你想要的
BUUCTF学习(5): 命令执行Ping
初尘屿风的博客
10-16 406
-
BUUCTF-练习场-Web(5-8)
m0_62905745的博客
10-26 1699
SQL注入的解题大概步骤,以及爆表爆库查字段 绕过空格,替换字符的方法 命令执行漏洞
CTF关于ping命令注入问题(1)
热门推荐
欢迎来到神林的博客
03-07 1万+
题目样式 对于看到ping或者ping命令却没有弄waf时就要想到命令注入。 具体注入方法 看到ping命令就可以利用截断来执行新的命令。 首先测试所有的截断符号: ‘$’ ‘;’ ‘|’ ‘-’ ‘(’ ‘)’ ‘反引号’ ‘||’ ‘&amp;&amp;’ ‘&amp;’ ‘}’ ‘{’ '%0a’可以当作空格来用; 利用截断符号配合普通命令简单问题基本就出来; 例如:ip=127.0.0.1...
0到1:CTFer成长之路——死亡 Ping 命令
weixin_51559599的博客
10-26 599
手动尝试慢脚本生成可打印字符,后面拼接命令bp 爆破出现中文乱码设置编码爆破最终发现转义后的%0A拼接时未被过滤。
ctf0到1电子书
12-14
CTF0到1》是一本针对CTF(Capture The Flag)竞赛的电子书,旨在帮助初学者快速入门和提高他们的技能。该书包括了CTF竞赛的基础知识、技巧和策略,并提供了详细的实例和实战练习,帮助读者从零开始逐步建立起...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值