CTFHub-RCE 命令注入-过滤运算符

观察源代码

  • 代码里面可以发现过滤了运算符,我们可以尝试分号;

判断是Windows还是Linux

  • 源代码中有

    php 复制代码
    ping -c 4

    说明是Linux

查看有哪些文件

复制代码
```php
127.0.0.1;ls
```

打开flag文件

  • cat这个php文件
复制代码
```php
127.0.0.1;cat  flag_257413168915334.php
```
  • 可是发现 文本内容显示不出来,所以怀疑可能编码格式问题,有些内容无法显示(同上一节)
  • 由于过滤了运算符|,我们不能尝试用base64编码,但是可以打开网页源代码查看(Ctrl+U)
  • 成功获取flag
相关推荐
知攻善防实验室1 天前
Notepad++ 本地提权漏洞|复现|分析
测试工具·安全·网络安全·notepad++
RrEeSsEeTt1 天前
【HackTheBox】- Active 靶机学习
网络安全·渗透测试·kali·内网安全·hackthebox·ad域
weixin_446260851 天前
解锁安全新维度:Cybersecurity AI (CAI) 助力提升网络安全效率!
人工智能·安全·web安全
熙客1 天前
Session与JWT安全对比
java·分布式·安全·web安全·spring cloud
G皮T1 天前
【安全】TLS 协议介绍
安全·http·网络安全·https·ssl·tls·tls 1.3
btyzadt1 天前
内网信息收集与命令详解
web安全·网络安全
Whoami!1 天前
⸢ 陆 ⸥ ⤳ 可信纵深防御:整体架构
网络安全·信息安全·安全架构
余防1 天前
存储型XSS,反射型xss
前端·安全·web安全·网络安全·xss
m0_738120721 天前
CTFshow系列——PHP特性Web113-115(123)
安全·web安全·php·ctfshow
北京耐用通信1 天前
神秘魔法?耐达讯自动化Modbus TCP 转 Profibus 如何为光伏逆变器编织通信“天网”
网络·人工智能·网络协议·网络安全·自动化·信息与通信