营销型网站制作哪个好薇,烟台微信网站建设,怎么选择兰州h5制作,青岛网站制作服务商拿到题目#xff0c;不知道是sql注入还是命令执行漏洞
先ping一下主机 有回显#xff0c;说明是命令执行漏洞 我们尝试去查看目录
127.0.0.1|ls#xff0c;发现有回显#xff0c;目录下面有个index.php的文件 我们之间访问index.php
输入127.0.0.1;cat index.php
发现又…拿到题目不知道是sql注入还是命令执行漏洞
先ping一下主机 有回显说明是命令执行漏洞 我们尝试去查看目录
127.0.0.1|ls发现有回显目录下面有个index.php的文件 我们之间访问index.php
输入127.0.0.1;cat index.php
发现又弹出了一个ping的地方 我们用ls /去查看index.php下的目录,在Linux下/是根目录 相关知识Linux中根目录用/表示。而windows表示目录的方式与Linux有所不同Windows下有磁盘分区的概念而Linux下只有目录的概念所以‘/’所表示的意义在两个系统中有所不同。 ‘/’在linux中表示根目录。在Linux系统中除根目录(root)以外所有文件和目录都包含在相应的目录文件中。Linux文件系统采用带链接的树形目录结构即只有一个根目录通常用“/”表示其中含有下级子目录或文件的信息子目录中又可含有更下级的子目录或者文件的信息。这样一层一层地延伸下去构成一棵倒置的树。 ‘/’在windows中也表示根目录但此根目录非彼根目录。windows对磁盘分区后会有多个磁盘通常系统会装在C盘。windows有多个磁盘所以就会有‘多个根目录’在dos命令模式下在D盘的某文件夹中输入‘cd/’命令回车后会直接回到D盘的根目录。其它磁盘下也会回到该磁盘的目录。在哪个磁盘下使用‘/’它就表示哪个磁盘的根目录 于是我们用cd ../回到上一级目录
输入 127.0.0.1;cd ../../../;cat flag
得到flag 当然我们也可以用命令
127.0.0.1;cat /flag 总结
什么是命令注入 原理web应用在调用这些函数执行系统命令的时候在没有做好过滤用户输入的情况下如果用户将自己的输入作为系统命令的参数拼接到命令行中就会造成命令注命令执行的漏洞 命令注入的形成需要如下三个条件 危害继承嵌入式应用程序或者 web应用程序的权限去执行系统命令读写执行文件导致系统有可能会被恶意攻击或者泄露系统用户信息 命令注入相关的特殊字符 相关文章参考https://www.cnblogs.com/lyxhhz/p/15979041.html
