密码保护:记一次curl命令执行漏洞挖掘

在测公司产品的时候,发现有一个地方提供了一些常见命令的页面 请求URL诸如 GET /sys/tools?_t=1534404677&operation=cURL&target=XXXX 注入在target 测试时发现,后端似乎对常见的一些符号有过滤……