DVWA——命令注入

直接就成功了,还是查看一下源码吧

DVWA——命令注入_第1张图片

在源码中将;分号和&&两种连接符号给替换为了空,运气好刚好尝试的是不在黑名单里的

DVWA——命令注入_第2张图片

High

这里是全部给过滤完了呀,但是&&并不在里面

DVWA——命令注入_第3张图片

依旧不行,这就有点怪了,我以为过滤了一个&不关&&的事嘞,那为什么要过滤两个|呢

DVWA——命令注入_第4张图片

通过查找资料发现原来第三个过滤的字符其实过滤的是‘|(空格)’

那只要不在管道符之后使用空格就相当于没有过滤

注入成功

DVWA——命令注入_第5张图片

你可能感兴趣的:(安全)