LitCTF 2023Ping wp
简单的先 ping 一下百度:
貌似被 waf 掉了。
查看源码:
发现了这么一个用于过滤的函数,这是一段插在 html 中的 js 代码。
函数的大致作用是严格匹配 ipv4 地址,比如 127.0.0.1 这种格式,所以域名都不可以。
禁了你的
对于这种写在前端的验证函数,不需要去研究如何绕过,直接禁掉 js 代码的调用就好了,浏览器应该都有这个功能。
我是用火狐上的一个插件来禁用 js 代码:
点一下开关,变为红色说明 js 已经被禁掉了:
此时再去输入命令,发现没有任何过滤。
flag 在根目录下:
用 ls 不断查找每一级目录下的文件,最后发现 flag 在根目录下。
直接查看根目录下的 flag :
|cat /flag拿到 flag:
