[LitCTF 2023]Ping

妙尽璇机2023-12-28 21:49

[LitCTF 2023]Ping wp

简单的先 ping 一下百度:

貌似被 waf 掉了。

查看源码:

发现了这么一个用于过滤的函数,这是一段插在 html 中的 js 代码。

函数的大致作用是严格匹配 ipv4 地址,比如 127.0.0.1 这种格式,所以域名都不可以。

禁了你的

对于这种写在前端的验证函数,不需要去研究如何绕过,直接禁掉 js 代码的调用就好了,浏览器应该都有这个功能。

我是用火狐上的一个插件来禁用 js 代码:

点一下开关,变为红色说明 js 已经被禁掉了:

此时再去输入命令,发现没有任何过滤。

flag 在根目录下:

用 ls 不断查找每一级目录下的文件,最后发现 flag 在根目录下。

直接查看根目录下的 flag :

复制代码 
|cat /flag

拿到 flag:

相关推荐
llxxyy卢6 分钟前
文件上传之基础过滤方式
安全·web安全
emma羊羊5 小时前
【PHP反序列化】css夺旗赛
开发语言·网络安全·php
CyberSecurity_zhang6 小时前
一文理清汽车网络安全法规
网络·安全·web安全
jenchoi4137 小时前
软件供应链npm/pypi投毒预警情报【2025-11-09】
前端·安全·web安全·网络安全·npm·node.js
AI分享猿17 小时前
雷池 WAF 免费版实测:企业用 Apache 搭环境,护住跨境电商平台
web安全·github·apache
介一安全21 小时前
【Frida Android】实战篇3:基于 OkHttp 库的 Hook 抓包
android·okhttp·网络安全·frida
AI绘画小331 天前
渗透测试数据库判断卡壳?分类 + 方法 + SQL/NoSQL 脚本速用
服务器·数据库·sql·mysql·web安全·nosql
Z3r4y1 天前
【代码审计】RuoYi-4.2 五处安全问题分析
java·web安全·代码审计·若依4.2·ruoyi-4.2
信创天地1 天前
RISC-V 2025年在国内的发展趋势
python·网络安全·系统架构·系统安全·运维开发
红树林071 天前
渗透测试之json_web_token(JWT)
网络协议·安全·web安全
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03Linux下V2Ray安装配置指南04安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)05综合整理:pdf预览显示:你尝试预览的文件可能对你的计算机有害。如果你信任此文件以及其来源,请打开此文件以看其内容,如何解决以正常预览文件06Labelme从安装到标注:零基础完整指南07BongoCat - 跨平台键盘猫动画工具08智能库存管理的需求预测模型:从业务痛点到落地代码的完整实践09《大数据技术原理与应用》实验报告三 熟悉HBase常用操作10全面评测 | Photoshop 2026 新特性深度解析与实测体验