[LitCTF 2023]Ping

[LitCTF 2023]Ping wp

简单的先 ping 一下百度:

貌似被 waf 掉了。

查看源码:

发现了这么一个用于过滤的函数,这是一段插在 html 中的 js 代码。

函数的大致作用是严格匹配 ipv4 地址,比如 127.0.0.1 这种格式,所以域名都不可以。

禁了你的

对于这种写在前端的验证函数,不需要去研究如何绕过,直接禁掉 js 代码的调用就好了,浏览器应该都有这个功能。

我是用火狐上的一个插件来禁用 js 代码:

点一下开关,变为红色说明 js 已经被禁掉了:

此时再去输入命令,发现没有任何过滤。

flag 在根目录下:

用 ls 不断查找每一级目录下的文件,最后发现 flag 在根目录下。

直接查看根目录下的 flag :

复制代码
|cat /flag

拿到 flag:

相关推荐
独行soc6 小时前
#渗透测试#批量漏洞挖掘#HSC Mailinspector 任意文件读取漏洞(CVE-2024-34470)
linux·科技·安全·网络安全·面试·渗透测试
Whoisshutiao8 小时前
网安-XSS-pikachu
前端·安全·网络安全
薄荷椰果抹茶17 小时前
【网络安全基础】第六章---Web安全需求
安全·web安全
游戏开发爱好者81 天前
iOS重构期调试实战:架构升级中的性能与数据保障策略
websocket·网络协议·tcp/ip·http·网络安全·https·udp
HumanRisk1 天前
降低网络安全中的人为风险:以人为本的路径
网络·安全·web安全
安全系统学习1 天前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss
江苏思维驱动智能研究院有限公司1 天前
Sophos 网络安全:全球领先的自适应安全解决方案提供商
网络·安全·web安全
A5rZ1 天前
Puppeteer 相关漏洞-- Google 2025 Sourceless
网络安全
Bruce_Liuxiaowei1 天前
常见高危端口风险分析与防护指南
网络·网络安全·端口·信息搜集
2501_916013741 天前
iOS 多线程导致接口乱序?抓包还原 + 请求调度优化实战
websocket·网络协议·tcp/ip·http·网络安全·https·udp