溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章主要介紹了DVWA中high級別命令執行漏洞的示例分析,具有一定借鑒價值,感興趣的朋友可以參考下,希望大家閱讀完這篇文章之后大有收獲,下面讓小編帶著大家一起了解一下。
將DVWA Security切換到high級別,在Command Execution中查看網頁源碼。
這里首先也是用stripslashes函數對獲取到的IP地址進行了處理,主要是為了去掉轉義后添加的斜杠,原因之前已經解釋過,由于在high級別下會自動啟用PHP的magic_quotes_gpc魔術引號,對所有的傳值數據自動用addslashes()函數轉義,所以需要用stripslashes()函數去除。
接下來使用了explode函數,以“.”為分隔符將$target變量中的IP地址進行分割,分割后會得到一個數組,并賦值給變量$octet。
接下來使用if語句,用is_numeric函數依次判斷$octet數組中的每個值是否是數字型數據,并且還使用sizeof函數判斷$octet數組中元素的個數是否是4個。這個判斷條件就非常苛刻了,基本可以保證用戶輸入的必須是正確的IP地址,之前所使用的所有命令執行漏洞都無法生效了。
但是這里的問題也同樣明顯,這種過濾方法只能針對命令參數是IP地址的情況才起作用,如果我們希望去執行的是其它的系統命令,這種方法就不起作用了。
感謝你能夠認真閱讀完這篇文章,希望小編分享的“DVWA中high級別命令執行漏洞的示例分析”這篇文章對大家有幫助,同時也希望大家多多支持億速云,關注億速云行業資訊頻道,更多相關知識等著你來學習!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
