【滲透測試-web安全】DVWA-命令注入
1、實操
設置low等級
使用功能
咱們發現功能是直接使用輸入IP地址系統反饋ping命令的結果 首先測試 127.0.0.1
使用命令拼接:127.0.0.1&&dir
很簡單就實現了命令注入,固然這是簡單的等級,其餘級別自行嘗試,有問題能夠私信個人CSDN帳號哦
常見命令拼接符號:web
| 鏈接命令windows |
使用方法安全 |
做用curl |
| &&web安全 |
A&&B測試 |
A執行成功纔會執行Burl |
| &spa |
A&B.net |
簡單的拼接,AB之間沒有約束關係code |
| | |
A|B |
A的輸出做爲B執行的輸入 |
| || |
A||B |
A執行失敗纔會執行B |
2、怎麼解決沒有回顯的命令注入
延時注入
windows : ping 127.0.0.1 -n 5 >nul Linux:sleep 5
遠程請求
windows:ping、telnet等 Linux:wget、curl等
3、防範命令注入
設置黑名單(對於某些命令使用黑名單的形式進行限制,不太推薦) 設置白名單 對執行的命令設置白名單,其餘的都被限制