网络安全-绕过技巧(WAF、白名单、黑名单)总结

码农12138号2025-12-10 11:44

目录

替换

截断、换行

靶场、实战练习

平台Bugku

替换

截断、换行

Linux命令执行,可以通过换行符,达到执行多条命令的效果,在Web中通常需要URL编码才能正常解析并进行绕过。换行符的URL编码:

复制代码 
%0a

例:

复制代码 
shell_exec("/usr/bin/whois -h ${host} ${query}")

可以看到有两个参数 host 与 query,正常输入则是执行一条命令

复制代码 
/usr/bin/whois -h ${host} ${query}

那么我们将host参数后加入%0a换行符

复制代码 
/usr/bin/whois -h ${host}%0a ${query}

则可执行两条命令

复制代码 
/usr/bin/whois -h ${host}
${query}

其中,更改query参数,则可形成任意命令执行。

靶场、实战练习

平台Bugku

Bugku HackINI 2022 Whois 详解-CSDN博客

相关推荐
黑客老李1 天前
web渗透实战 | js.map文件泄露导致的通杀漏洞
安全·web安全·小程序·黑客入门·渗透测试实战
枷锁—sha1 天前
【SRC】SQL注入快速判定与应对策略(一)
网络·数据库·sql·安全·网络安全·系统安全
liann1191 天前
3.1_网络——基础
网络·安全·web安全·http·网络安全
独行soc1 天前
2026年渗透测试面试题总结-17(题目+回答)
android·网络·安全·web安全·渗透测试·安全狮
独行soc1 天前
2026年渗透测试面试题总结-18(题目+回答)
android·网络·安全·web安全·渗透测试·安全狮
ESBK20251 天前
第四届移动互联网、云计算与信息安全国际会议(MICCIS 2026)二轮征稿启动,诚邀全球学者共赴学术盛宴
大数据·网络·物联网·网络安全·云计算·密码学·信息与通信
旺仔Sec2 天前
一文带你看懂免费开源 WAF 天花板!雷池 (SafeLine) 部署与实战全解析
web安全·网络安全·开源·waf
七牛云行业应用2 天前
Moltbook一夜崩盘:150万密钥泄露背后的架构“死穴”与重构实战
网络安全·postgresql·架构·高并发·七牛云
原来是你~呀~2 天前
Strix:AI驱动的全自动安全测试平台,LinuxOS部署
网络安全·自动化渗透测试·strix
fendouweiqian2 天前
AWS WAF(配合 CloudFront)基础防护配置:免费能做什么、要不要开日志、如何限制危险方法
网络安全·aws·cloudfront
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03openclaw配置教程(linux+局域网ollama)04OpenClaw Chrome扩展使用教程 - 浏览器中继控制05Linux下V2Ray安装配置指南06UV安装并设置国内源07Claude Code Skills 实用使用手册08一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示09让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南10Vue-skills的中文文档