xctf中command_execution

本文探讨了在Web应用中遇到ping命令时如何利用命令注入漏洞,通过测试不同的截断符号来执行额外的系统命令,如查看敏感文件。文章详细介绍了如何利用这些符号绕过WAF,并给出具体示例,如利用分号执行cat命令读取flag文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

观察题目,
在这里插入图片描述对于看到ping或者ping命令却没有弄waf时就要想到命令注入。
看到ping命令就可以利用截断来执行新的命令。
首先测试所有的截断符号:
‘$’
‘;’
‘|’
‘-’
‘(’
‘)’
‘反引号’
‘||’
‘&&’
‘&’
‘}’
‘{’
'%0a’可以当作空格来用;
利用截断符号配合普通命令简单问题基本就出来;
例如:127.0.0.1;cat /home/flag.txt
简单的flag就出来了,也可以配合其他的进行;
在这里插入图片描述

原因

系统提供命令执行类函数主要方便处理相关应用场景的功能.而当不合理的使用这类函数,同时调用的变量未考虑安全因素,就会执行恶意的命令调用,被攻击利用。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值