CTFHub-RCE 命令注入-过滤运算符

FGHua_kk2025-06-04 16:15

观察源代码

  • 代码里面可以发现过滤了运算符,我们可以尝试分号;

判断是Windows还是Linux

  • 源代码中有

    php 复制代码 
    ping -c 4

    说明是Linux

查看有哪些文件

复制代码 
```php
127.0.0.1;ls
```

打开flag文件

  • cat这个php文件
复制代码 
```php
127.0.0.1;cat  flag_257413168915334.php
```
  • 可是发现 文本内容显示不出来,所以怀疑可能编码格式问题,有些内容无法显示(同上一节)
  • 由于过滤了运算符|,我们不能尝试用base64编码,但是可以打开网页源代码查看(Ctrl+U)
  • 成功获取flag
相关推荐
世界尽头与你2 小时前
(修复方案)kibana 未授权访问漏洞
安全·网络安全·渗透测试
独角鲸网络安全实验室3 小时前
WhisperPair漏洞突袭:谷歌Fast Pair协议失守,数亿蓝牙设备陷静默劫持危机
网络安全·数据安全·漏洞·蓝牙耳机·智能设备·fast pair·cve-2025-36911
lingggggaaaa5 小时前
安全工具篇&Go魔改二开&Fscan扫描&FRP代理&特征消除&新增扩展&打乱HASH
学习·安全·web安全·网络安全·golang·哈希算法
小李独爱秋7 小时前
计算机网络经典问题透视:无线个人区域网WPAN的主要特点是什么?
计算机网络·网络安全·信息与通信·信号处理·wpan
贾修行8 小时前
企业级网络安全架构实战:从防火墙部署到远程办公全解析
web安全·架构·智能路由器
模型时代9 小时前
Infosecurity Europe欧洲信息安全展将推出网络安全初创企业专区
安全·web安全·区块链
niaiheni11 小时前
Log4j 漏洞深度分析:CVE-2021-44228 原理与本质
web安全·网络安全·log4j
Hubianji_0911 小时前
[IOS]2026年网络安全、通信技术与计算机科学国际会议(ACCTCS 2026)
计算机网络·安全·web安全·ios·国际会议·国际期刊
rockmelodies12 小时前
Cybersecurity AI (CAI) AI 时代的网络安全自动化框架
人工智能·web安全·自动化
Whoami!12 小时前
⓫⁄₁₁ ⟦ OSCP ⬖ 研记 ⟧ Windows权限提升 ➱ 未加引号服务路径漏洞利用(上)
windows·网络安全·信息安全·未加引号服务路径
热门推荐
01GitHub 镜像站点02Vue-skills的中文文档03一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示04Claude Code Skills 实用使用手册05让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南06Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services07UV安装并设置国内源08OpenClaw部署与配置教程:在Mac mini上接入国产大模型与飞书09在Trae中使用Pencil MCP10Linux下V2Ray安装配置指南