command_execution

标题:命令执行(可能会想到有命令执行漏洞这个知识点的涉及)

1、waf WAF指的是Web应用防火墙(Web Application Firewall)

没有waf,那么就从ping命令执行漏洞切入

🤩要记住,这一点

命令执行漏洞

发生在应用程序没有正确验证、清理用户输入的数据就被用于执行操作系统命令,这种漏洞允许攻击者操纵输入数据来注入并执行恶意命令,导致敏感信息的泄露、系统被控制

注意:(记住)可以尝试一些特殊的地址,(127.0.0.1)(因为题上啥都没说——可能是我看不出来不明白学识浅薄)

image

ping **127.0.0.1 ** ,有回显

image

直接把用户输入的参数不经过过滤直接放在ping命令之后,而恶意攻击者可以在输入的参数中用&&截断,而执行下一个恶意命令

屏幕截图 2025-07-17 171816

​ ——wushuyng

学习一下经验 (参考该博主的博客🙇🙇🙇)

屏幕截图 2025-07-17 171117

会执行ls这个命令,然后就是用linux知识,查找flag相关的文件
如图所示
屏幕截图 2025-07-17 171412

查看里面的内容

屏幕截图 2025-07-17 171601

posted @ 2025-07-17 18:45  fish666-wu  阅读(12)  评论(0)    收藏  举报