本文介绍了DVWA中的命令注入问题,包括如何解决查看源码时的乱码问题,以及不同难度级别的过滤符号处理。重点讲解了高级命令注入的解决策略,并提醒注意stripslashes()函数的作用。此外,还分享了Windows和Linux的常用命令学习资源,强调了掌握这些基础知识对于安全防护和服务器管理的重要性。
首先你可能会遇见ping一个ip后出现乱码的情况,那就是在DVWA-master\dvwa\includes目录下的到dvwaPage.inc.php文件中设置的字体是utf-8,解决方法把所有的”charset=utf-8”,修改”charset=gb2312”。(真实情况,俺遇见解决了回来改)。
学习命令注入,首先去看high等级的源码。因为你会发现,低级和中级只是使用的符号不一样。如下函数就是过滤的连接符号。所以低级和中级,只要你尝试就会知道他没有过滤哪些符号。
$substitutions = array(
'&' => '',
';' => '',
'| ' => '',
'-' => '',
'$' => '',
'(' => '',
')' => '',
'`' => '',
'||' => '',
);
接下来就是高级,注意看第三个过滤符号,在‘|’ 符号后面有一个空格,所以构造没有空格的连接命令即可。
最后不可能级别的·原因是
stripslashes()去除字符串中的反斜杠,反转义。
CSRF是跨站域请求伪造
最低0.47元/天 解锁文章
754
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
