分析DVWA靶场高难度的命令执行漏洞的代码

最新推荐文章于 2024-08-30 15:56:09 发布
最新推荐文章于 2024-08-30 15:56:09 发布
阅读量100 收藏
点赞数 2
文章标签: 数学建模 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77768779/article/details/131123993
版权

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // 判断传参是否为空

//isset() 函数用于检测变量是否已设置并且非 NULL。
    $target = trim($_REQUEST[ 'ip' ]); 

// 定义$target =(接收 [字符串] )

// trim() 函数移除字符串两侧的空白字符


    $substitutions = array(
        '&'  => '',
        ';'  => '',
        '| ' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
    );

// 创建一个数据表

 
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // 将输入的值与数组的键进行对比相同替换为空


    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // 判断操作系统  (stristr区分大小写)


        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

 //根据系统版本进行ping命令(因为Windows系统不区分大小写linux区分大小写)

 

 

   
    echo "<pre>{$cmd}</pre>";
}

//输出ping结果,(<pre>留空格和换行符)。

 

咋学也学不明白!
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
分析DVWA靶场高难度High和不可能难度Impossible的命令执行漏洞
qq_45758325的博客
06-09 378
分析DVWA靶场高难度High和不可能难度Impossible的命令执行漏洞
DVWA靶场高难度命令执行漏洞
weixin_68133652的博客
06-09 131
首先判断用户是否提交了表单,使用 isset() 函数判断是否存在名为 “Submit” 的 POST 参数。发现新函数 trim,//trim(): 去除字符串两端的空白字符,用于去除用户输入的 IP 地址中可能存在的空格。str_replace 符合指定模式的字符串替换为其他字符串,用于将 IP 地址中的黑名单字符替换为空字符串。该命令的解释为使用 str_replace() 函数将目标 IP 中的黑名单字符替换为空字符串。isset(): 判断变量是否被设置,用于检测是否提交了表单。
审计dvwa高难度命令执行漏洞代码
Retr10010的博客
11-21 292
打开dvwa靶场,把难度设置为high,然后进入“命令执行漏洞靶场
DVWA 靶场之 Command Injection(命令执行)原理介绍、分隔符测试、后门写入与源码分析、修复建议
Welcome To Myon'Blog !
02-26 3261
代替 localhost :在操作系统的配置文件中,通常将 localhost(本地主机名)与 127.0.0.1 绑定在一起,这样在应用程序中使用 localhost 时,实际上是在使用本地回环地址,用于访问本机上运行的网络服务和应用程序。在操作系统中,“ &、|、&&、|| ” 都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令。:对服务器和应用程序进行安全配置,关闭不必要的服务和功能,限制可执行命令的范围。
审计dvwa高难度命令执行漏洞代码编写
xy_wjyjw的博客
11-21 58
实例说明如下函数的用法trim()函数它的用法是删除字符串两侧的空格字符strreplace()函数在字符串$text中搜索 "wjy" 字符串,并将 "wjy" 替换为 "Lisa"。arraykeys()函数返回数组中的键名,并查找指定某一个值得键名。stristr()函数搜索字符串中匹配的部分,并返回该部分以及后面得全部文本php。
审计dvwa靶场高难度命令执行漏洞代码,编写实例说明如下函数的用法 trim str_replace array_keys stristr php_uname
2302_76966971的博客
11-21 206
stristr(a,b) 在字符串a中找字符b 且返回b及b之后的内容。功能:查找并替换字符串内容 在C中查找A,有A的话将其换成B。功能:将数组的key作为新数组的value生成一个新的索引数组。功能:显示当前操作系统的名字。功能:去掉字符串首尾的空格。
DVWA靶场命令执行(小白笔记)
晚风挽着浮云的博客
10-14 1万+
DVWA靶场命令执行 我们在测试一些web工具时,需要某个web应用作为我们的靶机,这时候就首选应用DVWA(Damn Vulnerable Web Application); DVWA是一款基于php&mysql编写的用于常规web漏洞和检测的web脆弱性测试web应用。其中包含了SQL注入,盲注,文件包含,XSS,CSRF等一些常见的WEB漏洞; 下面是一些命令执行 写的不好,多多包涵 在这里我们进行命令输入 这里我们选择DVWA的难度等级 1:难度LOW...
dvwa靶场暴力破解漏洞高级(high)
m0_73128456的博客
11-13 1917
5.然后我们去添加线程,点击options,然后找到Grep-Extract然后点击add添加点击Fetch response,然后在token,它就可以帮你找到token,在选择图中value=’后的值,它就会帮你填写,再点击ok,就可以了,如图。2.在dvwa靶场中,输入一个用户名和你的密码(前提是知道用户名或者密码,反正你要知道一个)我这里是知道用户名的情况,如果你知道密码不知道用户名也是同样方法。3.然后,我们看抓包工具抓的内容,我们要把它上传到intruder模块,它会亮你就点击就可以。
DVWA靶场-文件上传漏洞
热门推荐
zeroone的博客
03-08 1万+
第五关:File upload(文件上传)       文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx等都曝出过文件上传漏洞。 Low <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to
dvwa靶场,里面也有xss靶场
09-24
`dvwa-master`目录包含了整个DVWA靶场的所有源代码和资源文件。主要目录结构如下: - `config`: 存放配置文件,如`config.inc.php`。 - `includes`: 包含一些通用函数和类库。 - `security`: 用于设置DVWA安全...
DVWA靶场-SQL Injection(难度低、中、高)-sqlmap自动化漏洞扫描
weixin_43850721的博客
12-14 2813
此处使用docker容器搭建靶场。使用docker平台即可实现靶场的快速搭建,比较方便。使用docker搜索dvwa镜像:docker search dvwa。此处选择第一个镜像文件下载:docker pull citizenstig/dvwa。下载完毕后,可以使用docker images来查看所有的镜像,从中可以找到dvwa
数学建模学习手册】python基本入门使用
小小unicorn的博客
08-30 736
超定线性方程组(overdetermined system of linear equations)指的是方程的数量多于未知数的线性方程组。这意味着方程的数量 mmm 大于未知数的数量 nnn(即 m>nm > nm>n)。方程数量多于未知数:这类方程组往往没有精确的解,因为过多的方程对未知数施加了更多的约束条件,这些条件可能互相矛盾,无法同时满足。无法精确求解:由于不可能满足所有方程,通常需要使用最小二乘法等数值方法来找到使方程“近似成立”的解。这种解不是精确解,而是尽可能让方程残差(误差)最小的解。
数学建模起步感受(赛前15天)
na208702973的博客
08-20 1284
0基础直接上手数模,因为大一!开个玩笑,因为数模比赛比一年少一年…然后还看了一下学长推荐的orange–一款作图软件,接受数据,转换成各种表格。仅仅在刷软考题的时候遇到python选择题不会才去搜索的…首先python啥也不会,知道有元组这玩意…抱着不打也是浪费的态度,我开始着手准备。感觉不太会用,看了点教程视频才基本会用。做编程手,所以去看了一些常用的模型。
数学建模--插值算法和拟合算法
binhyun的博客
08-26 1196
1.插值法的概念 2.拉格朗日插值&牛顿插值 3.埃尔米特插值 4.三次样条插值 5.使用上面的方法解决短期预测问题 6.插值和拟合的区别 7.一个拟合的案例介绍 8.matlab求解最小二乘 9.如何评价拟合的好坏
inflight 守恒算法负反馈解析
Netfilter
08-27 2825
特别在汇聚或骨干网络,就算 phase 全部打散,至多有 6 个完全独立的 phase slot,而在叠加 phase,同时 probe 将导致 buffer 占量增加,这问题类似 vegas 分析中,如果每条流保持 α < diff < β,n 条流的 diff 下界就是 n * α,当 n 很大时,排队时间将不可避免增加。可见,除了保持 buffer 占量在多流场景下算法可扩展,我引入负反馈的另一个意义在于,让收敛更快,设 x > y,p1 = x。浙江温州皮鞋湿,下雨进水不会胖。
数学建模学习(126):基于Python的最优最劣法(BWM)在多标准决策中的应用
全栈川川
08-25 247
基于Python的最优最劣法(BWM)在多标准决策中的应用
数学建模笔记
2302_80378107的博客
08-27 353
打开word找到插入并点击表格随机生成一个表格,然后去修改表格样式,把格式应用于选到标题行,然后点击格式,选到边框和底纹,把宽度改为1.5磅,然后点击上下俩个田字,预览图会出现上下俩条黑线,然后再回到格式应用于,选到整个表格,再重复操作就可以得到三线图。
数学建模之入门篇
最新发布
2302_77293761的博客
08-30 880
数学建模是利用数学工具和方法对实际问题进行描述、分析和求解的过程。数学模型通过对实际问题进行抽象和简化,建立数学表达式或方程来描述问题。数学建模的基本步骤:问题描述:明确要解决的问题,收集相关信息和数据。假设条件:对实际问题进行合理的简化和假设,以便建立模型。模型构建:根据假设条件,建立数学模型,如方程、函数、关系式等。求解模型:利用数学方法或计算工具求解模型,得到结果。模型验证:将模型结果与实际情况进行比较,验证模型的有效性。模型改进。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值