我正在尝试捕获需要命令注入的挑战的标志。我可以使用命令 $(ls ..) 查看文本文件 flag.txt
但是当我尝试使用 cd 或 cat 例如 $(cat) 或 $(cd) 时,我收到一条消息“找不到命令”。
我还尝试了以下所有方法:
$(ls .. | cat flag.txt)
$(echo $PATH)
$(cat flag.txt)
$(ls .. | echo $PATH)
$(pwd)
$(ls .. | pwd)
$(cd ..)
$(cd .. | echo $PATH)
我正在包装终端命令 $(),因为如果我不这样做,它将作为评论发布。
以下是挑战说明:
在我们认为是不相关的情报中,我们的一名监视该团伙的现场特工今天早上报告说,他注意到其中一个人正在查看一个销售铅笔的网站。嗯,看来他们也用它来做其他事情——隐藏文件。
幸运的是,我们认为该网站很容易受到命令注入的攻击。看看您是否可以使用评论表来访问并查找文件,我们认为它包含参与计划抢劫的团伙成员的列表以及他们在袭击中的特定角色,因此我们立即掌握它至关重要。
提示:找到该文件,它包含标志。
我不是在寻找答案。欢迎任何有助于帮助我找到解决方案的建议或网站。
答案1
您在运行时会看到该文件ls ..(无论该想法来自何处)...
即文件位置不是./flag.txt(= flag.txt) 而是../flag.txt
$(cat ../flag.txt)
答案2
如果您想使用或代替链接命令,则对管道的使用|无效。;&&