网络安全-绕过技巧(WAF、白名单、黑名单)总结

码农12138号2025-12-10 11:44

目录

替换

截断、换行

靶场、实战练习

平台Bugku

替换

截断、换行

Linux命令执行,可以通过换行符,达到执行多条命令的效果,在Web中通常需要URL编码才能正常解析并进行绕过。换行符的URL编码:

复制代码 
%0a

例:

复制代码 
shell_exec("/usr/bin/whois -h ${host} ${query}")

可以看到有两个参数 host 与 query,正常输入则是执行一条命令

复制代码 
/usr/bin/whois -h ${host} ${query}

那么我们将host参数后加入%0a换行符

复制代码 
/usr/bin/whois -h ${host}%0a ${query}

则可执行两条命令

复制代码 
/usr/bin/whois -h ${host}
${query}

其中,更改query参数,则可形成任意命令执行。

靶场、实战练习

平台Bugku

Bugku HackINI 2022 Whois 详解-CSDN博客

相关推荐
运筹vivo@20 小时前
攻防世界: catcat-new
前端·web安全·php
小李独爱秋21 小时前
计算机网络经典问题透视:试比较先进先出排队(FIFO)、公平排队(FQ)和加权公平排队(WFQ)的优缺点
服务器·计算机网络·算法·web安全·信息与通信·队列
久违 °21 小时前
【安全开发】Nmap端口发现技术详解(一)
安全·网络安全
世界尽头与你21 小时前
CVE-2025-48976_ Apache Commons FileUpload 安全漏洞
网络安全·渗透测试·apache
运筹vivo@21 小时前
攻防世界: ics-05
前端·web安全·php
MicroTech20251 天前
微算法科技(NASDAQ :MLGO)开发基于QML的入侵检测识别系统(QML-IDS),强化网络安全防护
科技·算法·web安全
Pure_White_Sword1 天前
bugku-reverse题目-peter的手机
网络安全·ctf·reverse·逆向工程
小李独爱秋1 天前
计算机网络经典问题透视:RTP首部三剑客——序号、时间戳与标记的使命
服务器·计算机网络·web安全·信息与通信·rtsp
小李独爱秋1 天前
计算机网络经典问题透视:RTP协议能否提供应用分组的可靠传输?
服务器·计算机网络·web安全·信息与通信·rtsp
菩提小狗1 天前
小迪安全2022-2023|第176天:SRC挖掘-CNVD_EDU_通用事件_资产规则_审核评级_思路知识_笔记|web安全|渗透测试|
笔记·安全·web安全
热门推荐
01GitHub 镜像站点02OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)032025 Telegram 最新免费社工库机器人(LetsTG可[特殊字符])搭建指南(含 Python 脚本)04UV安装并设置国内源05在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)06BongoCat - 跨平台键盘猫动画工具07安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)08AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南09Claude Code Skills 实用使用手册10Linux下V2Ray安装配置指南