CTFHub-RCE 命令注入-过滤运算符

FGHua_kk2025-06-04 16:15

观察源代码

  • 代码里面可以发现过滤了运算符,我们可以尝试分号;

判断是Windows还是Linux

  • 源代码中有

    php 复制代码 
    ping -c 4

    说明是Linux

查看有哪些文件

复制代码 
```php
127.0.0.1;ls
```

打开flag文件

  • cat这个php文件
复制代码 
```php
127.0.0.1;cat  flag_257413168915334.php
```
  • 可是发现 文本内容显示不出来,所以怀疑可能编码格式问题,有些内容无法显示(同上一节)
  • 由于过滤了运算符|,我们不能尝试用base64编码,但是可以打开网页源代码查看(Ctrl+U)
  • 成功获取flag
相关推荐
希望奇迹很安静5 小时前
SSRF_XXE_RCE_反序列化学习
学习·web安全·ctf·渗透测试学习
程序员编程指南7 小时前
Qt 网络编程进阶:网络安全与加密
c语言·网络·c++·qt·web安全
Johny_Zhao8 小时前
Centos8搭建hadoop高可用集群
linux·hadoop·python·网络安全·信息安全·云计算·shell·yum源·系统运维·itsm
北极光SD-WAN组网1 天前
工业互联网时代,如何通过混合SD-WAN提升煤炭行业智能化网络安全
网络·安全·web安全
落鹜秋水1 天前
Cacti命令执行漏洞分析(CVE-2022-46169)
web安全·网络安全
pencek1 天前
XCTF-crypto-幂数加密
网络安全
会议之眼1 天前
截稿倒计时 TrustCom‘25大会即将召开
网络安全
周先森的怣忈1 天前
渗透高级-----测试复现(第三次作业)
网络安全
MUY09901 天前
OSPF之多区域
网络·网络安全
未来之窗软件服务1 天前
网站访问信息追踪系统在安全与性能优化中的关键作用——网络安全—仙盟创梦IDE
安全·web安全·性能优化·仙盟创梦ide·东方仙盟
热门推荐
01Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code02全球最强模型Grok4,国内已可免费使用!(附教程)03vue数据变化但页面不变04KGG转MP3工具|非KGM文件|解密音频05扣子开源本地部署教程 丨Coze智能体小白喂饭级指南06干翻 Typora!MilkUp:完全免费的桌面端 Markdown 编辑器!07【2025.7.18】更新vscode后所有.vue文件template标签后报红的临时解决办法,Vue - Official 插件3.0.2导致08ChatGPT Agent 完全使用指南:2025年7月最新功能详解09《魔兽世界》提示lua警告的含义及解决方法10这次领先Cursor!体验了Trae 2.0 SOLO 模式,超酷!