- 博客(3)
- 收藏
- 关注
原创 DVWA靶场不可能难度的命令执行漏洞的代码
checkToken() 函数:该函数用于对比用户提交的 token 值和服务器端设置的 token 值是否相等,以确保请求是合法的,可以防止跨站点请求伪造(CSRF)攻击。这个 if 判断用户输入的 IP 地址是否符合规范,首先要求 $octet 数组中的前四个元素都必须是数值,然后要求 $octet 数组的大小必须为 4。获取用户提交的 IP 地址。
2023-06-09 16:57:18 177
原创 DVWA靶场高难度命令执行漏洞
首先判断用户是否提交了表单,使用 isset() 函数判断是否存在名为 “Submit” 的 POST 参数。发现新函数 trim,//trim(): 去除字符串两端的空白字符,用于去除用户输入的 IP 地址中可能存在的空格。str_replace 符合指定模式的字符串替换为其他字符串,用于将 IP 地址中的黑名单字符替换为空字符串。该命令的解释为使用 str_replace() 函数将目标 IP 中的黑名单字符替换为空字符串。isset(): 判断变量是否被设置,用于检测是否提交了表单。
2023-06-09 12:37:02 130
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人