LOW
127.0.0.1&ipconfig
medium
使用str_replace
把”&&” 、”;”替换为空字符
依然可以使用&
high
进一步过滤了常用的命令连接符
通过观察可以发现黑名单中的|
后面有一个空格,所以我们使用127.0.0.1|ipconfig
仍然可以执行
impossable
stripslashes(string)
stripslashes函数会删除字符串string中的反斜杠,返回已剥离反斜杠的字符串。
explode(separator,string,limit)
把字符串打散为数组,返回字符串的数组。参数separator规定在哪里分割字符串,参数string是要分割的字符串,可选参数limit规定所返回的数组元素的数目。
is_numeric(string)
检测string是否为数字或数字字符串,如果是返回TRUE,否则返回FALSE。
可以看到,Impossible级别的代码加入了Anti-CSRF token,同时对参数ip进行了严格的限制,只有诸如“数字.数字.数字.数字”的输入才会被接收执行,因此不存在命令注入漏洞
& 顺序执行多条命令,而不管命令是否执行成功
&& 顺序执行多条命令,当碰到执行出错的命令后将不执行后面的命令
|| 顺序执行多条命令,当碰到执行正确的命令后将不执行后面的命令
| 管道命令 前一个命令的执行结果输出到后一个命令