当前位置: 开发笔记 > 编程语言 > 正文

命令注入_CTFHTTP服务命令注入1

作者：手机用户2502860763 | 来源：互联网 | 2023-08-16 18:41

篇首语：本文由编程笔记#小编为大家整理，主要介绍了CTF--HTTP服务--命令注入1相关的知识，希望对你有一定的参考价值。开门见山

篇首语：本文由编程笔记#小编为大家整理，主要介绍了CTF--HTTP服务--命令注入1相关的知识，希望对你有一定的参考价值。

开门见山

1. 扫描靶机ip，发现PCS 192.168.31.210

技术图片

2. 用nmap扫描开放服务和服务版本

技术图片

3. 再扫描全部信息

技术图片

4. 探测http服务的目录信息

技术图片

5. 再用dirb扫描

技术图片

6. 查看敏感页面，在/robots.txt 中发现一个 /nothing，打开并查看源代码

技术图片

7. 打开 /secure 文件查看，下载网站源代码

技术图片

8. 解压文件夹出现一个MP3文件

技术图片

9. 查看文件类型

技术图片

10. 查看这个文件，发现一个用户名和网址

技术图片

11. 打开网址

技术图片

12. 搜索playSMS的漏洞

技术图片

13. 查看最新的具体的漏洞

技术图片

14. 使用漏洞

技术图片

15. 上传一个1.py文件，并用burpsuite抓取数据包

技术图片

16. burpsuite抓取后，发送到reperter里

技术图片

17. 修改文件名为 php system(‘uname -a‘); dia();?>.php，可以看到反馈的信息

技术图片

18.如果要执行其他的命令，需要重新抓包并发送

推荐阅读

function
如何在PHP中准确获取服务器IP地址？

如何在PHP中准确获取服务器IP地址？ ... [详细]

蜡笔小新 2024-11-10 15:17:16
function
服务器部署中的安全策略实践与优化

服务器部署中的安全策略实践与优化 ... [详细]

蜡笔小新 2024-11-10 13:04:30
function
如何通过登录PHP网站实现校园内外差异化访问：内部免费而外部需付费

该大学网站采用PHP和MySQL技术，在校内可免费访问某些外部收费资料数据库。为了方便学生校外访问，建议通过学校账号登录实现免费访问。具体方案可包括利用学校服务器作为代理，结合身份验证机制，确保合法用户在校外也能享受免费资源。 ... [详细]

蜡笔小新 2024-11-10 03:11:33
function
体积小巧的vsftpd与pureftpd Docker镜像在Unraid系统中的详细配置指南：支持TLS加密及IPv6协议

本文详细介绍了如何在Unraid系统中配置体积小巧的vsftpd和Pure-FTPd Docker镜像，以支持TLS加密和IPv6协议。通过这些配置，用户可以实现安全、高效的文件传输服务，适用于各种网络环境。配置过程包括镜像的选择、环境变量的设置以及必要的安全措施，确保了系统的稳定性和数据的安全性。 ... [详细]

蜡笔小新 2024-11-09 12:46:23
string
ButterKnife的基础应用与实践指南

ButterKnife 是一款用于 Android 开发的注解库，主要用于简化视图和事件绑定。本文详细介绍了 ButterKnife 的基础用法，包括如何通过注解实现字段和方法的绑定，以及在实际项目中的应用示例。此外，文章还提到了截至 2016 年 4 月 29 日，ButterKnife 的最新版本为 8.0.1，为开发者提供了最新的功能和性能优化。 ... [详细]

蜡笔小新 2024-11-07 13:17:24
stream
第二章：Kafka基础入门与核心概念解析

本章节主要介绍了Kafka的基本概念及其核心特性。Kafka是一种分布式消息发布和订阅系统，以其卓越的性能和高吞吐量而著称。最初，Kafka被设计用于LinkedIn的活动流和运营数据处理，旨在高效地管理和传输大规模的数据流。这些数据主要包括用户活动记录、系统日志和其他实时信息。通过深入解析Kafka的设计原理和应用场景，读者将能够更好地理解其在现代大数据架构中的重要地位。 ... [详细]

蜡笔小新 2024-11-06 11:10:03
export
Vue.js 前端框架中使用 vuei18n 实现多语言支持的详细指南

本文详细介绍了在 Vue.js 前端框架中集成 vue-i18n 插件以实现多语言支持的方法。通过具体的配置步骤和示例代码，帮助开发者快速掌握如何在项目中实现国际化功能，提升用户体验。同时，文章还探讨了常见的多语言切换问题及解决方案，为开发人员提供了实用的参考。 ... [详细]

蜡笔小新 2024-11-05 20:00:42
export
CAS 机制下的无锁队列设计与实现

CAS 机制下的无锁队列设计与实现 ... [详细]

蜡笔小新 2024-11-04 15:38:05
export
性能测试中的关键监控指标与深入分析

在软件性能测试中，关键监控指标的选取至关重要。主要目的包括：1. 评估系统的当前性能，确保其符合预期的性能标准；2. 发现软件性能瓶颈，定位潜在问题；3. 优化系统性能，提高用户体验。通过综合分析这些指标，可以全面了解系统的运行状态，为后续的性能改进提供科学依据。 ... [详细]

蜡笔小新 2024-11-11 01:42:16
export
系统转换的三种方法及其具体应用分析

系统转换是信息技术领域中常见的任务，本文详细探讨了三种主要的系统转换方法及其具体应用场景。这些方法包括：代码迁移、数据迁移和平台迁移。文章通过实例分析了每种方法的优势和局限性，并提供了实际操作中的注意事项和技术要点。例如，代码迁移适用于从VB6获取网页源码，数据迁移在Ubuntu中用于隐藏侧边栏，而平台迁移则涉及Tomcat 6.0的使用和谷歌爬虫的测试。此外，文章还讨论了蓝翰互动PHP面试和5118 SEO工具在系统转换中的应用，为读者提供了全面的技术参考。 ... [详细]

蜡笔小新 2024-11-10 13:53:48
export
优化Nginx与PHP的高效配置方法

在优化Nginx与PHP的高效配置过程中，许多教程提供的配置方法存在诸多问题或不良实践。本文将深入探讨这些常见错误，并详细介绍如何正确配置Nginx和PHP，以实现更高的性能和稳定性。我们将从Nginx配置文件的基本指令入手，逐步解析每个关键参数的最优设置，帮助读者理解其背后的原理和实际应用效果。 ... [详细]

蜡笔小新 2024-11-09 18:24:15
export
探究 Lua 在 .NET 生态系统中的应用与挑战：鲜为人知的研究领域

在当前的软件开发领域，Lua 作为一种轻量级脚本语言，在 .NET 生态系统中的应用逐渐受到关注。本文探讨了 Lua 在 .NET 环境下的集成方法及其面临的挑战，包括性能优化、互操作性和生态支持等方面。尽管存在一定的技术障碍，但通过不断的学习和实践，开发者能够克服这些困难，拓展 Lua 在 .NET 中的应用场景。 ... [详细]

蜡笔小新 2024-11-08 14:47:43
export
深入解析：Django框架中的MVT设计模式终于被讲得明明白白！

本文深入解析了Django框架中的MVT（Model-View-Template）设计模式，详细阐述了其工作原理和应用流程。通过分析URL模式、视图、模型和模板等关键组件，读者将全面理解Django应用程序的架构体系，掌握如何高效地构建和管理Web应用。 ... [详细]

蜡笔小新 2024-11-08 14:32:20
email
如何更有效地提升对支持部门的协助与支撑？ - Enhancing Support for the Support Department: Strategies and Best Practices

尽管我们尽最大努力，任何软件开发过程中都难免会出现缺陷。为了更有效地提升对支持部门的协助与支撑，本文探讨了多种策略和最佳实践，旨在通过改进沟通、增强培训和支持流程来减少这些缺陷的影响，并提高整体服务质量和客户满意度。 ... [详细]

蜡笔小新 2024-11-07 06:55:33
email
在 CentOS 6.6 系统中搭建 MONO 和 Jexus 以支持 ASP.NET 及 MVC 应用的运行环境配置指南

本文提供了在 CentOS 6.6 系统上配置 MONO 和 Jexus 以支持 ASP.NET 及 MVC 应用的详细步骤。首先，确保本机环境为 CentOS 6.6，并使用阿里云的 YUM 源来安装必要的软件包，包括 gcc、gcc-c++、bison、pkgconfig 和 glib2-devel。这些软件包是构建和运行 MONO 环境的基础，确保系统能够顺利支持 ASP.NET 和 MVC 应用的部署和运行。 ... [详细]

蜡笔小新 2024-11-05 10:47:26

手机用户2502860763

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章