ping下命令注入

 

打开题目后发现这样界面

 

 首先测试127.0.0.1的结果

 

 然后测试 || | & && ; 等分割符 最后发现 || 可以用,这里界面上会过滤掉一个 | 

 

 发现flag文件但是查看的时候 cat命令不可以使

 然后通过查阅,发现可以用?来进行匹配

 

DCNCTF{He110_W0rld_He110_hacker}
posted @ 2020-02-29 17:10  MTcx  阅读(1080)  评论(0编辑  收藏  举报