第十一题 题目提示ping功能没写waf
百度了一下,waf是WEB应用安全防火墙,防各种渗透的,并没有什么有用的提示
先看题
题目是一个ping功能
随便打个127.0.0.1,发现竟然有回显
尝试运用指令拼接(一行运行多条指令,可以用&或;)
输入127.0.0.1;ls
发现回显多了一个index.php,说明可以拼接
补充知识:cd ..可以返回上级目录
不断增加cd ..;的数量直到根目录
直接用find指令,搜文件
出来一大堆文件,页面搜索flag.
看见flag.txt的位置,然后直接cat获取文件
得到flag