写点什么

25 分钟了解命令执行漏洞【例题 + 详细讲解】(二)

作者:贤鱼很忙
  • 2022-10-14
    新疆
  • 本文字数:514 字

    阅读完需:约 1 分钟

@TOC


🍀预计时间:25 分钟学习目标:1 继续了解如何绕过过滤 2 学会构造数字

⚠别看今天目标少,内容需要思考滴!!!

过滤 cat,flag,空格,数字,$

承接上文,我们介绍了如何绕过过滤 cat,flag 等,可是如果同时过滤了空格和 $我们该怎么办呢???

明显,

IFS

1

${IFS}

{,}:例如{cat,/flag}

<

<>


对于题目种过滤空格,我们就可以利用这种方法来绕过,如果还同时过滤了里面的内容,可以尝试利用不同的方法绕过空格


这道题我们使用<来作答

传参 tac</fla\g||就可以得到 flag 了!!!

构造数字(这个比较难搞,所以重点介绍下)

==在 linux shell 中


(()) 0echo (()))) -1echo (())))(())))(()))) -1-1-1

echo (((())))(())))(()))))))) 2

echo ((~((~((~$(()))))) -3

有没有发现规律???很明显,如果括号内不加表达式就是 0,取反就是-1,我们可以把它们拼接在一起(-1-1-1),也可以加在一起(-3),在考试的时候我们可以利用这个方法来绕过对于数字的过滤


这个内容比较绕,需要自己慢慢琢磨琢磨



🏆🏆结束语:==命令执行漏洞的内容会不定期更新,如果对您有帮助的话可以订阅一下专栏==

发布于: 刚刚阅读数: 3
用户头像

贤鱼很忙

关注

为了未来奋斗中 2022-09-28 加入

主修网络安全和c++方面内容,时常提供题解和网络安全方面知识

评论

发布
暂无评论
25分钟了解命令执行漏洞【例题+详细讲解】(二)_sql_贤鱼很忙_InfoQ写作社区