[LitCTF 2023]Ping

妙尽璇机2023-12-28 21:49

[LitCTF 2023]Ping wp

简单的先 ping 一下百度:

貌似被 waf 掉了。

查看源码:

发现了这么一个用于过滤的函数,这是一段插在 html 中的 js 代码。

函数的大致作用是严格匹配 ipv4 地址,比如 127.0.0.1 这种格式,所以域名都不可以。

禁了你的

对于这种写在前端的验证函数,不需要去研究如何绕过,直接禁掉 js 代码的调用就好了,浏览器应该都有这个功能。

我是用火狐上的一个插件来禁用 js 代码:

点一下开关,变为红色说明 js 已经被禁掉了:

此时再去输入命令,发现没有任何过滤。

flag 在根目录下:

用 ls 不断查找每一级目录下的文件,最后发现 flag 在根目录下。

直接查看根目录下的 flag :

复制代码 
|cat /flag

拿到 flag:

相关推荐
碳水加碳水2 小时前
Java代码审计实战:XML外部实体注入(XXE)深度解析
java·安全·web安全·代码审计
晓衣4 小时前
2025“獬豸杯”全国电子数据取证竞赛-k8s服务器取证wp
服务器·经验分享·程序人生·网络安全·容器·kubernetes·学习方法
lingggggaaaa11 小时前
小迪安全v2023学习笔记(七十九讲)—— 中间件安全&IIS&Apache&Tomcat&Nginx&CVE
笔记·学习·安全·web安全·网络安全·中间件·apache
淮北49414 小时前
计算机网络学习(七、网络安全)
学习·计算机网络·web安全
爱隐身的官人16 小时前
新后端漏洞(上)- Spring Cloud Gateway Actuator API SpEL表达式注入命令执行(CVE-2022-22947)
网络·安全·web安全·spel表达式注入命令执行
星马梦缘17 小时前
计算机网络7 第七章 网络安全
网络·计算机网络·安全·web安全·非对称加密·对称加密
weixin_4462608517 小时前
探索网络安全的利器:theHarvester
安全·web安全
jieyu111918 小时前
内网后渗透攻击--linux系统(权限维持)
网络安全·内网渗透
m0_7381207218 小时前
CTFshow系列——PHP特性Web97-100
开发语言·安全·web安全·php·ctfshow
Suckerbin18 小时前
Basic Pentesting: 1靶场渗透
笔记·安全·web安全·网络安全
热门推荐
012025 年高教社杯全国大学生数学建模竞赛C 题 NIPT 的时点选择与胎儿的异常判定 完整成品思路模型代码分享,全网首发高质量!!!022025年数学建模国赛C题超详细解题思路03UV安装并设置国内源04不再让Windows更新!&Edge游戏助手卸载及关闭自动更新052025全国大学生数学建模C题保姆级思路模型(持续更新):NIPT 的时点选择与胎儿的异常判定062025高教社杯国赛数学建模选题建议+初步分析07KGG转MP3工具|非KGM文件|解密音频082025国赛B题保姆级教程思路分析 碳化硅外延层厚度的确定09A股预测还能更准?开源大模型Kronos带你跑通预测+回测全流程10jdk21下载、安装(Windows、Linux、macOS)