[ACTF2020 新生赛]Exec1命令注入

1.来看题目如下

 得到一个ping的输入框，老样子先检查网页源码看有没有什么好东西，得到一个链接，我们来访问一下

 

发现也没什么有用处的信息，于是看到题目的标题之后联想到了命令注入，

那么是怎么判断使用命令注入的呢；通过其他参考资料可以知道，可以通过不同语言包含的不同的代码来判断：比如：

在PHP中的以下函数就可能存在命令注入：

system

exec

shell_exec

passthru

这道题题目就含有提示exec，所以就考用命令注入来解题；

在python语言中含有可能命令注入的函数：

-*-command：system\popen\subprocess.call\spawn　　　　

-*-code: map\filter\reduce\...　

# python 函数名可以直接作为普通函数的参数的，理论上，如果定义了这样的函数都危险def myreduce(funcname,param):

return funcname(param)

 在java中：

-*-command：java.lang.Runtime.getRuntime().exec(command)
 

 Linux ls 命令可以看目录文件，我们不知道文件目录有几层可以通过" ../ "返回上一级目录到根目录。

 

得出flag