如有错误之处,还请指出,我们共同进步!!!
题目描述
小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。
分析
题目为command_execution,可以猜到可能需要利用ping命令来执行其他命令来获取flag。要读取本机的文件,首先可以确定要ping的IP地址为127.0.0.1。此外,题目中提到了ping和waf,那就先看看这两个东西分别是啥。
ping
ping是一个大部分人都用过或听过的东西,在我的知识储备里目前就是一个用来检测某个IP通不通的工具。
ping (Packet Internet Groper),因特网包探索器,用于测试网络连接量的程序。ping会向指定的IP地址发送一定长度的数据包。若指定网络地址存在,会返回同样大小的数据包;若在特定时间内没有返回,就是“超时”,会被认为指定的IP地址不存在。我认为其实这跟平常大家所说的通不通是一个作用。
waf
Web应用程序防火墙(Web Application Firewall,WAF)是一种用于保护Web应用程序的安全设备。其大致原理是通过Web应用程序的流量来监控和过滤,从而达到阻止潜在风险的目的。步骤大致如下:
- 流量识别:waf对应用请求进行分析
- 攻击检测:对请求进行攻击检测
- 攻击响应:针对不同的检测结果做出响应
- 日志记录:对请求和响应进行记录
开整
首先ping本地(127.0.0.1)可以看到能够连通,想要在ping中夹杂其他指令,可以在命令后跟上分号即可按顺序执行。通过在输入框中输入127.0.0.1;find / -name “flag*”,可以在找到一个名为flag.txt的文件夹(/home/flag.txt)。然后重新输入127.0.0.1;cat /home/flag.txt即可得到flag!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
