首先只有一个框界面,让输入一个ip地址。输入后发现出现的界面和命令行直接ping ip 地址相似。
所以可以判断这个地方存在命令注入漏洞。
输入127.0.0.1 && net user出现
调到medium等级。
发现当继续输入127.0.0.1 && net user时出现这个情况。所以可以尝试用&一个这个符号。
查看源代码发现把&&用黑名单过滤掉了。
调到high。
查看代码,发现过滤很多字符,包括&和一个|符号加空格和两个|符号,所以可以使用|来注入。只不过,&&是执行两个命令,而管道符号是将上一个命令的结果用到后面的命令中。
impossble
直接限制了你只能输入ip地址,所以无法注入。
可能有错,欢迎提醒。