网络安全-绕过技巧(WAF、白名单、黑名单)总结

码农12138号2025-12-10 11:44

目录

替换

截断、换行

靶场、实战练习

平台Bugku

替换

截断、换行

Linux命令执行,可以通过换行符,达到执行多条命令的效果,在Web中通常需要URL编码才能正常解析并进行绕过。换行符的URL编码:

复制代码 
%0a

例:

复制代码 
shell_exec("/usr/bin/whois -h ${host} ${query}")

可以看到有两个参数 host 与 query,正常输入则是执行一条命令

复制代码 
/usr/bin/whois -h ${host} ${query}

那么我们将host参数后加入%0a换行符

复制代码 
/usr/bin/whois -h ${host}%0a ${query}

则可执行两条命令

复制代码 
/usr/bin/whois -h ${host}
${query}

其中,更改query参数,则可形成任意命令执行。

靶场、实战练习

平台Bugku

Bugku HackINI 2022 Whois 详解-CSDN博客

相关推荐
码农12138号2 小时前
Bugku HackINI 2022 Whois 详解
linux·web安全·ctf·命令执行·bugku·换行符
三七吃山漆4 小时前
攻防世界——comment
android·python·web安全·网络安全·ctf
lpppp小公主5 小时前
PolarCTF网络安全2025冬季个人挑战赛 wp
安全·web安全
Suckerbin6 小时前
2025年Solar应急响应6月赛 恶意进程与连接分析
安全·web安全·网络安全·安全威胁分析
山川绿水6 小时前
bugku overflow
网络安全·pwn·安全架构
MarkHD7 小时前
车辆TBOX科普 第59次 系统集成与测试深度解析(EMC、功能安全、网络安全)
网络·安全·web安全
浩浩测试一下7 小时前
Kerberos 资源约束性委派误配置下的 S4U2self → S4U2proxy → DCSync 提权高阶手法链
安全·web安全·网络安全·中间件·flask·系统安全·安全架构
码农12138号7 小时前
Bugku - 2023 HackINI Upload0 与 2023 HackINI Upload1 详解
web安全·php·ctf·文件上传漏洞·bugku
白帽子黑客杰哥7 小时前
2025网络安全从零基础到精通:完整进阶路线
安全·web安全
Z_renascence7 小时前
web254-web259
web安全·网络安全
热门推荐
01GitHub 镜像站点02【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)03安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)04UV安装并设置国内源05Linux下V2Ray安装配置指南06BongoCat - 跨平台键盘猫动画工具07React CVE-2025-55182漏洞排查与修复指南08从入门到实战:Gemini 3 使用指南速览09本地部署阿里最新开源的Z-Image10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)