DVWA漏洞源码分析——(二)Command Injection
命令行注入
原理:利用可以调用系统命令的web应用,通过构造特殊命令字符串的方式,把恶意代码输入一个编辑域来改变网页动态生成的内容,最终实现本应在服务端才能工作的系统命令。
例子:
打开dvwa的靶场,把安全级别调为low级别的,打开Command Injection,要我们输入ip,ping命令操作
直接查看源码
发现:
获取post进来的数据直接进行一个系统的判断,这里输入的会(本次靶场是在win系统上面)与’ping’拼接在一起,然后通过当做命令执行&#