Command Injection

一.Low篇；

1.登录DVWA；

（账号：admin 密码：password）

2.DVWA Security-->low;

3.进入Command Injection,下滑找到View Source查看源代码，发现Low没有任何防御，直接输入127.0.0.1&whoami,以及你想知道的所有命令；

命令执行漏洞：

命令1|命令2：无论命令1是否执行成功，命令2将被执行；

命令1；命令2：无论命令1是否执行成功，命令2将被执行；

命令1&命令2：无论命令1是否执行成功，命令2将被执行；

命令1||命令2：仅在命令1执行失败时才执行命令2；

命令1&&命令2：仅在命令1执行成功时才执行命令2；

二.Medium篇；

1.DVWA Security-->Medium；

2.进入Command Injection,下滑找到View Source查看源代码，发现'&&'和';'被防御，但是并没有全部防御，使用其他命令绕过（命令如上）；

三.High篇；

1.DVWA Security-->High；

2.进入Command Injection,下滑找到View Source查看源代码，发现好像所有的命令字符都被限制了，这该怎么办......（哈哈哈，不卖关子了）仔细观察你会发现‘| ’好像和‘|’不一样，多了一个空格，成功找出bug；