网络安全-绕过技巧(WAF、白名单、黑名单)总结

目录

替换

截断、换行

靶场、实战练习

平台Bugku


替换

截断、换行

Linux命令执行,可以通过换行符,达到执行多条命令的效果,在Web中通常需要URL编码才能正常解析并进行绕过。换行符的URL编码:

复制代码
%0a

例:

复制代码
shell_exec("/usr/bin/whois -h ${host} ${query}")

可以看到有两个参数 host 与 query,正常输入则是执行一条命令

复制代码
/usr/bin/whois -h ${host} ${query}

那么我们将host参数后加入%0a换行符

复制代码
/usr/bin/whois -h ${host}%0a ${query}

则可执行两条命令

复制代码
/usr/bin/whois -h ${host}
${query}

其中,更改query参数,则可形成任意命令执行。

靶场、实战练习

平台Bugku

Bugku HackINI 2022 Whois 详解-CSDN博客

相关推荐
四月天431 小时前
web安全-SSTI(服务器模板注入)
笔记·学习·web安全·网络安全
菩提小狗4 小时前
每日安全情报报告 · 2026-07-04
网络安全·漏洞·cve·安全情报·每日安全
技术不好的崎鸣同学10 小时前
[MRCTF2020]PYWebsite 思路及解法
安全·web安全
有浔则灵12 小时前
网络安全核心知识梳理:从OSI模型到密码技术
网络·安全·web安全
菩提小狗1 天前
每日安全情报报告 · 2026-07-03
网络安全·漏洞·cve·安全情报·每日安全
Rocket-Luo1 天前
谈谈企业中的网络安全
网络·安全·web安全
中云DDoS CC防护蔡蔡1 天前
短信验证码被攻击怎么办
运维·经验分享·http·网络安全·微信
技术不好的崎鸣同学1 天前
[BJDCTF2020]The mystery of ip 思路及解法
网络·安全·web安全
Bruce_Liuxiaowei1 天前
2026年7月第1周网络安全形势周报
人工智能·安全·web安全·ai·智能体
菩提小狗1 天前
每日安全情报报告 · 2026-07-01
网络安全·漏洞·cve·安全情报·每日安全