当前位置: 首页 > news >正文

dvwa 代码注入impossible代码审计

news 2025/8/22 4:42:33

dvwa 代码注入impossible代码审计

<?phpif( isset( $_POST[ 'Submit' ]  ) ) {// Check Anti-CSRF tokencheckToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); // 检查token值是否正确// Get input$target = $_REQUEST[ 'ip' ]; $target = stripslashes( $target );// 对用户输入的IP进行过滤将转义字符去除// Split the IP into 4 octects$octet = explode( ".", $target );//对字符串进行分割分割为数组// Check IF each octet is an integerif( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) // 判断每个数组中的元素是否为数字,并且是否又四个元素{// If all 4 octets are int's put the IP back together.$target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];
//拼接字符串// Determine OS and execute the ping command.if( stristr( php_uname( 's' ), 'Windows NT' ) ) {//查询系统是否是windows// Windows$cmd = shell_exec( 'ping  ' . $target ); //进行ping操作}else {// *nix$cmd = shell_exec( 'ping  -c 4 ' . $target );//不是windows就ping4下}// Feedback for the end user$html .= "<pre>{$cmd}</pre>";//输出标签}else {// Ops. Let the user name theres a mistake$html .= '<pre>ERROR: You have entered an invalid IP.</pre>';}
}// Generate Anti-CSRF token
generateSessionToken();
//重新获取token值?>

stripslashes ()

stripslahes()函数是用来去除字符串中的转义字符的

<?php$char="a\n\n\n b";echo stripslashes($char);
?>

在这里插入图片描述

explode()

函数用来分割字符串的

<?php$ip=$_GET[777];print_r(explode('.',$ip));
?>

在这里插入图片描述

is_numeric()

函数用于检查一个值是否可以被解析为一个数字。它接受一个参数,并返回一个布尔值,指示参数是否可以被解析为一个有效的数字。

<?phpvar_dump (is_numeric('abc'));
?>

在这里插入图片描述

http://www.lryc.cn/news/238438.html

相关文章:

  • 909-2015-T1
  • selenium下载安装对应的chromedriver并执行
  • 1.什么是Angular?
  • Qt ListWidget
  • 微服务实战系列之加密RSA
  • Centos 里面为什么有的磁盘命名/dev/vda 有的是/dev/sda ?
  • P9232 [蓝桥杯 2023 省 A] 更小的数(区间DP)
  • 【ArcGIS Pro二次开发】(77):ArcGIS Pro中图层的获取与解析
  • Robust Optimization, imperfect CSI, CSIT and CSIR
  • 【数据结构】栈详解
  • 大结局!OpenAI创始人奥特曼和 Greg Brockman 将加入微软!!!
  • Linux QT交叉编译环境安装
  • 媲美有线操作,支持4KHz响应和无线充电的游戏鼠标,雷柏VT3S上手
  • 【Flask使用】全知识md文档,4大部分60页第3篇:状态cookie和session保持
  • 类方法,静态方法和实例方法的区别及应用场景
  • CleanMyMac X4.16免费版mac电脑一键清理电脑垃圾工具
  • 汽车级低压差稳压器LDO LM317BD2TR4G原理、参数及应用
  • 多对多的创建方式与Ajax
  • 【Linux网络】详解使用http和ftp搭建yum仓库,以及yum网络源优化
  • 算法设计与分析算法实现——动态规划最大子段
  • JavaWeb-JVM内存管理机制
  • 阿里云oss存储文件上传功能实现(保姆级教程)
  • centos7配置 局域网自动解析hostname
  • wireshark 过滤设置
  • SpringBoot-过滤器Filter+JWT令牌实现登录验证
  • VMware——WindowServer2012R2环境安装mysql5.7.14解压版_互为主从(图解版)
  • python 实现蚁群算法(simpy带绘图)
  • OpenAI 董事会宫斗始作俑者?一窥伊尔亚·苏茨克维内心世界
  • Android App 启动状态有几种?
  • Spring Cloud Alibaba Sentinel 简单使用