网络安全-绕过技巧(WAF、白名单、黑名单)总结

码农12138号2025-12-10 11:44

目录

替换

截断、换行

靶场、实战练习

平台Bugku

替换

截断、换行

Linux命令执行,可以通过换行符,达到执行多条命令的效果,在Web中通常需要URL编码才能正常解析并进行绕过。换行符的URL编码:

复制代码 
%0a

例:

复制代码 
shell_exec("/usr/bin/whois -h ${host} ${query}")

可以看到有两个参数 host 与 query,正常输入则是执行一条命令

复制代码 
/usr/bin/whois -h ${host} ${query}

那么我们将host参数后加入%0a换行符

复制代码 
/usr/bin/whois -h ${host}%0a ${query}

则可执行两条命令

复制代码 
/usr/bin/whois -h ${host}
${query}

其中,更改query参数,则可形成任意命令执行。

靶场、实战练习

平台Bugku

Bugku HackINI 2022 Whois 详解-CSDN博客

相关推荐
vortex512 小时前
python 库劫持:原理、利用与防御
python·网络安全·提权
捉鸭子12 小时前
某音a_bogus vmp逆向
爬虫·python·web安全·node.js·js
菩提小狗13 小时前
每日安全情报报告 · 2026-05-01
网络安全·漏洞·cve·安全情报·每日安全
钟智强15 小时前
潜伏 9 年的 Linux 核弹级漏洞:CopyFail CVE-2026-31431
linux·数据库·web安全
txg66615 小时前
VulCNN:多视图图表征驱动的可扩展漏洞检测体系
人工智能·深度学习·安全·网络安全
蜡笔小新拯救世界16 小时前
部分安全笔记总结
linux·网络·web安全
薪火铺子17 小时前
常见Web安全漏洞防护
安全·web安全
其实防守也摸鱼17 小时前
CTF密码学综合教学指南--第一章
网络·安全·网络安全·密码学·ctf·法律
Chockmans18 小时前
春秋云境CVE-2015-6522
安全·web安全·网络安全·网络攻击模型·安全威胁分析·春秋云境·cve-2015-6522
其实防守也摸鱼18 小时前
CTF密码学综合教学指南--第二章
开发语言·网络·python·安全·网络安全·密码学·ctf
热门推荐
01要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法02GitHub 镜像站点03裂开!ChatGPT 居然开始要手机号验证,附详细解决方法04Codex 接入 DeepSeek API 完整配置文档05【AI】2026 年具身智能模型和世界模型总结06零基础教你claude code 接入 deepseek V407在Windows 11上安装Docker的踩坑记录08实测可用|小米 MiMo 百万亿 Token 免费领,开发者速冲09CC-Switch & Claude 基于 Linux 服务器安装使用指南102026年4月AI大事件深度解读:大模型竞争进入“深水区“