我试过以下但是得到了 " 1个新电子邮件"
http://url:portNo/search?name=%3Bmail&&ls%7C&field2=1084&matnr=2391068
这意味着邮件已被执行但不是ls。
页面提交是通过一个java脚本提交表单,它使用""
进行字符串替换/ / g我尝试更换线路,甚至将其移除但产生的结果相同。
如何注入像" echo p |这样的命令邮件"
注意:使用"不起作用。
答案 0 :(得分:1)
要在网址中使用空格,您需要使用备用%20
序列来转义它们。有一个遗留替代品,包括使用+
符号代替空间....但我认为现在强烈建议不要这样做。