將DVWA Security設(shè)置為medium，在Command Execution中點(diǎn)擊“View Source”查看網(wǎng)頁(yè)源碼。

上街網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)建站！從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、APP開(kāi)發(fā)、響應(yīng)式網(wǎng)站建設(shè)等網(wǎng)站項(xiàng)目制作，到程序開(kāi)發(fā)，運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)建站自2013年創(chuàng)立以來(lái)到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來(lái)保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)建站。

這里將用于接收用戶輸入IP的變量$target做了過(guò)濾，過(guò)濾的方法是定義了一個(gè)黑名單。

$substitutions = array('&&' => '' , ';' => '', );

這行語(yǔ)句的意思是定義了一個(gè)數(shù)組并賦值給變量$substitutions，數(shù)組中包括2個(gè)鍵：&&和;，它們對(duì)應(yīng)的值都是NULL。

$target = str_replace( array_keys( $substitutions ), $substitutions, $target );

這行語(yǔ)句是用str_replace函數(shù)對(duì)$target變量中的字符進(jìn)行替換，替換的方法是將array_keys( $substitutions )替換成$substitutions，也就是將&&和;都替換成空值。

對(duì)網(wǎng)絡(luò)安全稍有了解的朋友都知道，黑名單是不可靠的，因?yàn)楹诿麊沃须y免會(huì)有遺漏，這就為***繞過(guò)提供了機(jī)會(huì)。像這里定義的黑名單，只包括&&和;兩個(gè)符號(hào)，通過(guò)上一篇博客的分析，我們知道有太多的方法可以繞過(guò)，比如“|”、“||”、“>”等。所以，medium級(jí)別的命令執(zhí)行漏洞其實(shí)也是很簡(jiǎn)單的。

分享題目：DVWA系列之8medium級(jí)別命令執(zhí)行漏洞
文章位置：http://www.chinadenli.net/article46/gpcgeg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供手機(jī)網(wǎng)站建設(shè)、品牌網(wǎng)站建設(shè)、網(wǎng)站導(dǎo)航、響應(yīng)式網(wǎng)站、標(biāo)簽優(yōu)化、域名注冊(cè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)