网络安全-绕过技巧(WAF、白名单、黑名单)总结

码农12138号2025-12-10 11:44

目录

替换

截断、换行

靶场、实战练习

平台Bugku

替换

截断、换行

Linux命令执行,可以通过换行符,达到执行多条命令的效果,在Web中通常需要URL编码才能正常解析并进行绕过。换行符的URL编码:

复制代码 
%0a

例:

复制代码 
shell_exec("/usr/bin/whois -h ${host} ${query}")

可以看到有两个参数 host 与 query,正常输入则是执行一条命令

复制代码 
/usr/bin/whois -h ${host} ${query}

那么我们将host参数后加入%0a换行符

复制代码 
/usr/bin/whois -h ${host}%0a ${query}

则可执行两条命令

复制代码 
/usr/bin/whois -h ${host}
${query}

其中,更改query参数,则可形成任意命令执行。

靶场、实战练习

平台Bugku

Bugku HackINI 2022 Whois 详解-CSDN博客

相关推荐
每天一把堆栈8 分钟前
ciscn-pwn
安全·网络安全·pwn
tryqaaa_7 小时前
学习日志(三)【php语法学习,iscc校赛wp】
android·网络协议·学习·安全·web安全·web
大方子7 小时前
【好靶场】文件上传漏洞(上传HTML弹XSS)
网络安全·好靶场
汤愈韬8 小时前
IP安全 SEC VPN_2
网络·网络协议·安全·网络安全·security
Kay_Liang8 小时前
VirtualBox NAT 网络实现三台虚拟机互联踩坑实录
网络·windows·笔记·ubuntu·网络安全
持敬chijing9 小时前
BUUCTF-WEB详细解题攻略第二页(按解出数降序排序)正在更新
安全·web安全·网络安全·网络攻击模型·安全威胁分析
祁白_10 小时前
PHP无参RCE
web安全·php·ctf·writeup
txg66610 小时前
网络安全领域简报(2026-05-17—2026-05-24)
深度学习·安全·网络安全
你觉得脆皮鸡好吃吗10 小时前
HTTP 状态码体系 (AI)
网络·安全·web安全
ylscode21 小时前
微软Exchange Server曝高危零日漏洞:朝鲜黑客利用“Toast攻击“入侵企业邮件系统
网络·安全·web安全
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法04CC-Switch & Claude 基于 Linux 服务器安装使用指南05裂开!ChatGPT 居然开始要手机号验证,附详细解决方法06【AI】2026 年具身智能模型和世界模型总结07Codegraph 实战:用知识图谱让 AI 编程效率翻倍08几个好用的ip纯净度检测网站09Cursor 接入 DeepSeek‑V4‑Pro 完整指南(2026 实测)10装上就回不去了:CodeGraph 让 AI 编程效率飙升 92%,它到底做了什么?