DVWA——Command Injection
本文共 724 字,大约阅读时间需要 2 分钟。
Command Injection
文章目录
一、什么是Command Injection?
命令注入是利用系统弱点获取对系统的访问权限,以执行恶意代码、获取用户数据和参与其他活动。
>根据程序调用系统命令。
程序中有调用系统命令的部分,例如输入ip,程序调用系统命令ping这个ip。如果在ip后面加一个&&、&、|、||命令拼接符号再跟上自己需要执行的系统命令。
二、DVWA实战
Low级别
该级别对输入没有进行过滤。
首先要输入一个IP,之后接自己想要执行的命令。 一、输入:127.0.0.1 && ipconfig ipconfig命令是DOS系统中的命令,可以帮助用户查看网络状况,可以看到你想看到的众多网络信息,比如延迟,IP,主机信息,物理地址信息等等。二、输入:127.0.0.1 && whoami
可得账户。
通过执行想要地命令,得到自己需要的信息。 Medium级别
一、输入:127.0.0.1&&whoami
报错
推断可能是这里&&被过滤了,那我们就试一下其它的连接方法。 二、输入:12 || whoami 成功获得账户 
三、输入:12&whoami
成功获得账户
据此推断,Medium级别对输入进行了部分过滤。
查看源码
对&&和;符号进行了消除。 High级别
high级别与其他的级别类似,只是过滤机制更加强了。
可以直接看源码:
很多连接符都被过滤,不过还是有漏洞比如: 输入:12222222 |whoami 中间不加空格 成功获得账户 
至于impossible级别就很困难了,目前不会,总的来说,DVWA中前三个级别的Command Injection还是比较容易,理解命令注入知道一些常用的命令。 转载地址:http://hmvwb.baihongyu.com/
你可能感兴趣的文章
Django字段的创建并连接MYSQL
查看>>
div标签布局的使用
查看>>
HTML中表格的使用
查看>>
(模板 重要)Tarjan算法解决LCA问题(PAT 1151 LCA in a Binary Tree)
查看>>
(PAT 1154) Vertex Coloring (图的广度优先遍历)
查看>>
(PAT 1115) Counting Nodes in a BST (二叉查找树-统计指定层元素个数)
查看>>
(PAT 1143) Lowest Common Ancestor (二叉查找树的LCA)
查看>>
(PAT 1061) Dating (字符串处理)
查看>>
(PAT 1118) Birds in Forest (并查集)
查看>>
数据结构 拓扑排序
查看>>
(PAT 1040) Longest Symmetric String (DP-最长回文子串)
查看>>
(PAT 1145) Hashing - Average Search Time (哈希表冲突处理)
查看>>
(1129) Recommendation System 排序
查看>>
PAT1090 Highest Price in Supply Chain 树DFS
查看>>
(PAT 1096) Consecutive Factors (质因子分解)
查看>>
(PAT 1019) General Palindromic Number (进制转换)
查看>>
(PAT 1073) Scientific Notation (字符串模拟题)
查看>>
(PAT 1080) Graduate Admission (排序)
查看>>
Play on Words UVA - 10129 (欧拉路径)
查看>>
mininet+floodlight搭建sdn环境并创建简答topo
查看>>