Sto tentando di educarmi ulteriormente sui titoli web usando DVWA. Sono stumped su Command Injection, ad alto livello
Gli stati di aiuto
The developer has either made a slight typo with the filters and believes a certain PHP command will save them from this mistake.
Spoiler:
trim() removes all leading & trailing spaces, right?.
Non vengono visualizzati correttamente qui ma ci sono tre spazi tra Trim () e rimuove. Detto questo, la funzione trim () rimuove gli spazi a schede. A quanto pare, però, lotta con spazi non distruttivi (\ xA0). Non ho molta familiarità con le righe di comando, ma nota dal codice sorgente tutti i simboli che proverei ad iniettare vengono sostituiti con PHP prima che tu possa farli fare qualsiasi cosa.
Nota: le fonti precedenti in rete dicono che questo livello non è incrinabile, ma sto usando la v1.9, rilasciata il 2015-10-05, con il registro delle modifiche
Renamed 'high' level to 'impossible' and created new vectors for 'high'.
Così efficacemente questa è una nuova sfida.
Sono in esecuzione su Windows, tenendo presente che questo ha un effetto sulla sintassi del comando, ecc. Altre risposte (più vecchie) puntano all'utilizzo di named pipe (FIFO) che sono apparentemente più semplici sui sistemi * nix.