摘要:
exec "ping" 注入方式和DVWA靶场 - Command Injection一致 exec "evel" 通过代码可以看出用户输入的信息未经过任何过滤被直接执行 尝试传入phpinfo(); 阅读全文
posted @ 2025-03-30 16:37
小圣爱学习
阅读(15)
评论(0)
推荐(0)
摘要:
Low 代码审计: 从源码中可以看出,代码只是执行了一个ping 命令,并没有对后面的参数做限制 因此我们可以分别使用 ;、 |、||、&、&&进行注入;,命令行可以使用whoami、ipconfig/ifconfig、ls/dir 等 Medium 代码审计: 对比代码发现,;和&& 被加入了黑名 阅读全文
posted @ 2025-03-30 11:14
小圣爱学习
阅读(6)
评论(0)
推荐(0)
浙公网安备 33010602011771号