一.Low篇;
1.登录DVWA;
(账号:admin 密码:password)
2.DVWA Security-->low;
3.进入Command Injection,下滑找到View Source查看源代码,发现Low没有任何防御,直接输入127.0.0.1&whoami,以及你想知道的所有命令;
命令执行漏洞:
命令1|命令2:无论命令1是否执行成功,命令2将被执行;
命令1;命令2:无论命令1是否执行成功,命令2将被执行;
命令1&命令2:无论命令1是否执行成功,命令2将被执行;
命令1||命令2:仅在命令1执行失败时才执行命令2;
命令1&&命令2:仅在命令1执行成功时才执行命令2;
二.Medium篇;
1.DVWA Security-->Medium;
2.进入Command Injection,下滑找到View Source查看源代码,发现'&&'和';'被防御,但是并没有全部防御,使用其他命令绕过(命令如上);
三.High篇;
1.DVWA Security-->High;
2.进入Command Injection,下滑找到View Source查看源代码,发现好像所有的命令字符都被限制了,这该怎么办......(哈哈哈,不卖关子了)仔细观察你会发现‘| ’好像和‘|’不一样,多了一个空格,成功找出bug;