【攻防世界】web新手练习011 command_execution
难度系数:2
题目描述:
小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。
题目场景:
http://111.200.241.244:61000
解题思路
-
遇见web题目,习惯性F12看一下控制台。
一个普普通通的表单。看来真的要ping点东西试一下。
-
了解一下什么是waf
Web应用防火墙可以防止Web应用免受各种常见攻击,比如SQL注入,跨站脚本漏洞(XSS)等。WAF也能够监测并过滤掉某些可能让应用遭受DOS(拒绝服务)攻击的流量。WAF会在HTTP流量抵达应用服务器之前检测可疑访问,同时,它们也能防止从Web应用获取某些未经授权的数据。
题目中提到,做这个网站的时候没有写waf ,也就是说这个题目可以使用注入。那么在ping 地址之后可能可以直接写linux指令。
- 尝试ping一下题目的ip地址
没啥结果。
4. 尝试ping一下本机的ip地址
发现多了点东西。多了一些路径出来,说明的确可以写linux指令。
5. 尝试ping一下本机的ip地址 搜索flag
6. 输出flag.txt的内容
答案
cyberpeace{b01ed6ce01f3a8a87bc7c5daebec6b78}
思考
- 要多学点linux指令。
- 做网站一定得写waf,不然会被攻击的。。。
如果我的文章能帮你节约20秒,就请你为我的文章点个赞吧!