【RCE】[ACTF2020 新生赛]Exec---RCE---day02

一、界面

打开之后就是个ping命令，题目名字叫Exec。
考点RCE。

二、思路

1、判断操作系统

首先拿到题目，要看一下题目环境是在windows下，还是linux下。
浏览器抓包：

server是openresty

判断题目环境应该是linux。
另外一种 判断方法就是：
linux:ifconfig
windows:ipconfig

通过管道符连接，这样也能判断出来。

管道符及多命令执行：

2、多命令执行查看目录

这个目录啥都没有，往上级看。

还是没有什么有意思的。

再往上看。

有个flag有点意思。

3、cat读取flag中的内容

补：linux读取文件内容命令

三、思考

在实战中如果cat被过滤该怎么绕过呢？
如果是linux下，应该可以编写shell脚本
然后拼接cat这样。然后再bash执行。