当网站提供执行用户某些命令(如ping)时,对管道符等没有进行严格的过滤,导致用户可以拼接一些非法命令使服务器执行。
该题型的本质拼接非法命令使,如何绕过网站对管道符、空格、关键字的过滤。
管道符:Windows系统:①|,直接执行后面语句 ②||,若前面语句为假则执行后面语句
③&,若前面语句为假直接执行后面,为真执行前面后执行后面 ④&&,若前面为假则不执行后面
Linux比Windows多一个’;’,执行完前面的执行后面
常见命令:windows:
Linux:
绍绕过空格的几种方式:
$IFS;${IFS};$IFS$1;<;<>;{cat,flag.php};%20;%09
绕过字符串过滤的方式: