命令注入:利用各種調用系統命令的web應用,通過命令拼接、繞過黑名單等方式實現在服務端實現想要實現的系統命令。
先記錄重點,我覺得DVWA命令注入這里做的幾個等級水分比較大,重點在於嘗試各種命令拼接符。
這里直接使用網易微專業的視頻截圖,如有侵權...找我啊...我自己重新弄成表格...
由於&在url中用於分隔參數所以在命令注入中需要轉碼為 %26
常用命令
ipconfig 查看本地網絡
net user 查看系統用戶
dir 查看當前目錄
find 查找包含指定字符的行
whoami 查看系統當前有效用戶名
DVWA_1.9
DVWA默認賬戶 admin 密碼 password
登錄后先通過DVWA Security頁面設置DVWA的安全等級,Low最低。若發生安全等級設置失敗的情況可清理瀏覽器的歷時記錄、選中並刪除cookie信息。重啟瀏覽器后再進行嘗試。
正常使用,功能如下。從響應的信息推測調用了系統的ping命令
LOW
使用&&拼接命令,成功執行了echo test
medium
high
DSVM
安全等級使用白名單對用戶輸入的命令進行限制,不要使用黑名單
命令注入 黑名單繞過 Windows可以使用雙引號 "" ^^ 也可以 n^et u^ser Linux 還可以使用單引號 ''
對於無回顯的情況
使用延時命令查看響應速度或搭建服務器查看是否有接收到請求等