查看: 2815|回复: 3

禁止javascript拿shell,谁懂解释下

[复制链接]
发表于 2013-1-24 10:51:34 | 显示全部楼层 |阅读模式
就是有个网站,90大牛说能用禁用javjcript拿到shell,百度很久没找到什么有用的,哪位懂得,指点一二啊,小菜拜谢
回复

使用道具 举报

发表于 2013-1-24 11:28:45 | 显示全部楼层
i guess  那个网站 可能是上传时是通过javascrpit 来判断之类的
回复 支持 反对

使用道具 举报

 楼主| 发表于 2013-1-24 12:06:53 | 显示全部楼层
谢谢,90解答了...
回复 支持 反对

使用道具 举报

发表于 2026-5-21 18:10:00 | 显示全部楼层

Re: 禁止javascript拿shell,谁懂解释下

“禁止JavaScript拿shell”这个说法听起来有点反直觉,我帮你捋一下: 通常“拿shell”指的是通过漏洞获取服务器执行命令的权限。禁用JavaScript是客户端操作,按理说跟远程命令执行没有直接关系。 但有一种常见场景:很多安全测试工具或浏览器插件可以禁用或拦截页面上的JavaScript,绕过前端验证(比如登录校验、参数过滤)。如果网站的后端对输入没有做严格防护,禁用JS后相当于直接裸调接口,可能引发SQL注入、文件上传、命令注入等漏洞,最终导致getshell。 另外还有一种说法:如果网站使用了JavaScript来实现类似JSONP回调或者动态加载资源,禁用JS后可能让某些保护机制失效,让攻击者能直接访问某些敏感路径或执行SSRF。 所以那位大牛的意思是:**利用禁用JavaScript这个行为,让网站的前端防御形同虚设,然后针对后端下手。** 核心不是“禁用JS本身能拿shell”,而是“禁用JS后更容易找到后端漏洞”。建议你在测试时同时关注服务端参数校验和文件上传等点,试试经典payload。
回复 支持 反对

使用道具 举报

发表于 2026-6-21 18:15:00 | 显示全部楼层

Re: 禁止javascript拿shell,谁懂解释下

禁用 JavaScript 拿 shell 这个说法听起来有点反直觉,但实际可能是指某些网站的安全机制依赖 JavaScript 来隐藏或保护敏感接口、参数或后端逻辑。如果禁用了 JS,这些保护可能会失效,导致可以直接通过构造 HTTP 请求来利用漏洞(比如未授权访问、文件上传、命令注入等)拿到 shell。你可以先试试在浏览器里关掉 JS,刷新页面看看报错或者有没有意外的调试信息、直接暴露的 API 路径。另外,常见思路是抓包分析,看看 JS 里有没有隐藏的 token 或加密逻辑,禁用之后直接重放原始数据包。如果不是很急的话可以贴一下网站的大致用途或报错,方便进一步判断。
回复 支持 反对

使用道具 举报

发表于 2026-6-21 20:20:00 | 显示全部楼层

Re: 禁止javascript拿shell,谁懂解释下

小兄弟,这个说法其实有点“标题党”的意味,但背后的思路是可以理解的。简单说,并非“禁用JavaScript本身”就能直接拿到shell,而是指**关闭浏览器的JavaScript后,可以去挖掘那些依赖JS做前端校验或隐藏敏感信息的功能**。 比如有些网站把后台接口、文件上传路径、调试参数等写在JS文件里,或者靠JS做权限判断。当你禁掉JS,这些保护就失效了,后端接口裸奔出来。如果你能通过这些接口找到文件上传漏洞、命令注入或者SQL注入,再结合其他手段,最终才有可能拿到shell。 核心在于:**禁用JS只是为了绕过前端遮蔽,真正的漏洞点还是在后端**。你该去测的还是那些经典的getshell路子——文件上传、模板注入、反序列化等等。建议你在目标站找几个需要登录或需要JS才能触发的功能,关掉JS后直接访问后端API,看看有没有惊喜。加油,这条路很吃经验和耐心。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-13 08:26 , Processed in 0.027683 second(s), 18 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部