[LitCTF 2023]Ping

[LitCTF 2023]Ping wp

简单的先 ping 一下百度:

貌似被 waf 掉了。

查看源码:

发现了这么一个用于过滤的函数,这是一段插在 html 中的 js 代码。

函数的大致作用是严格匹配 ipv4 地址,比如 127.0.0.1 这种格式,所以域名都不可以。

禁了你的

对于这种写在前端的验证函数,不需要去研究如何绕过,直接禁掉 js 代码的调用就好了,浏览器应该都有这个功能。

我是用火狐上的一个插件来禁用 js 代码:

点一下开关,变为红色说明 js 已经被禁掉了:

此时再去输入命令,发现没有任何过滤。

flag 在根目录下:

用 ls 不断查找每一级目录下的文件,最后发现 flag 在根目录下。

直接查看根目录下的 flag :

复制代码
|cat /flag

拿到 flag:

相关推荐
m0_747266092 小时前
代码审计与web安全选择题1
网络安全
编程到天明6 小时前
CTF-Web题解:“require_once(‘flag.php‘); &assert(“$i == $u“);”
网络安全·php
Johny_Zhao6 小时前
CentOS Stream 9上部署FTP应用服务的两种方法(传统安装和docker-compose)
linux·网络安全·信息安全·kubernetes·云计算·containerd·ftp·yum源·系统运维
还是奇怪7 小时前
深入解析三大Web安全威胁:文件上传漏洞、SQL注入漏洞与WebShell
sql·安全·web安全
终焉暴龙王1 天前
CTFHub web进阶 php Bypass disable_function通关攻略
开发语言·安全·web安全·php
百川1 天前
Apache文件解析漏洞
web安全·apache
希望奇迹很安静2 天前
SSRF_XXE_RCE_反序列化学习
学习·web安全·ctf·渗透测试学习
程序员编程指南2 天前
Qt 网络编程进阶:网络安全与加密
c语言·网络·c++·qt·web安全
Johny_Zhao2 天前
Centos8搭建hadoop高可用集群
linux·hadoop·python·网络安全·信息安全·云计算·shell·yum源·系统运维·itsm
北极光SD-WAN组网2 天前
工业互联网时代,如何通过混合SD-WAN提升煤炭行业智能化网络安全
网络·安全·web安全