[CTF]WEB Robots.txt文件

Robots.txt

robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。在CTF中常用于提示解题思路

打开题目

看到了没用的提示,看题目是Robots联想到可能存在Robots.txt文件

打开后发现有一个PHP文件,访问看看

其实到这里才算是真正打开了题目,这是一个ping的页面
通过get方式传参来利用

我这里传了一个/?ip=127.0.0.1 | ls 发现无法利用于是接着寻找别的利用方法

最终发现%0a可以利用,这个是url编码后的|,图中已经可以看到目录回显了

接下来就是查找flag了。构造

http://43.139.56.67:877/6af3223f1176293c.php?ip=127.0.0.1%0als%20/

命令是列出根目录底下的文件,已经可以看到flaggggggg

再使用cat命令查看flag,构造

http://43.139.56.67:877/6af3223f1176293c.php?ip=127.0.0.1%0acat%20/flaggggggg

即可得到flag

flag{easy_command_injection}
文章作者: Timo在此
文章链接: https://blog.xioxix.com/archives/222
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Timo在此!
暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇