继续浏览精彩内容
慕课网APP
程序员的梦工厂
打开
继续
感谢您的支持,我会继续努力的
赞赏金额会直接到老师账户
将二维码发送给自己后长按识别
微信支付
支付宝支付

DVWA练习记录——Command Injection

www说
关注TA
已关注
手记 477
粉丝 83
获赞 493

看看关于这个的介绍


就是想办法远程执行命令

主界面


先看看low级别代码


只是区分了一下系统版本直接执行ping命令而已

那就输入

127.0.0.1;id

结果


执行成功

看看medium吧


嗯,过滤了&& 和;

那就换个字符绕咯

输入

|id


成功

看看high级别


嗯将输入去空格,然后过滤特殊字符

想了想,那就用&来影响一下||的过滤好了

127.0.0.1 |&| id


成功,不过跟想象的不太一样

看看impossible代码吧


限制就严格了。

再找个答案看看吧。

http://www.freebuf.com/articles/web/116714.html

注意到high时原来|后面有个空格啊,还真没注意到,而且我的解答也只是歪打正着,难怪输出结果只有id的结果呢,应该是保留了第一个|而把后面的过滤掉了。下次要注意一下了。

那既然如此刚才high就应该是

直接用管道符

|id


成功

或者还像刚才用||来做:

|&|& id


成功

就到这里了。



作者:doctordc
链接:https://www.jianshu.com/p/d365419056bd
來源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

打开App,阅读手记
0人推荐
发表评论
随时随地看视频慕课网APP