操作系统命令注入漏洞检测及加固

本文探讨了操作系统命令注入漏洞,通过DVWA的Command Injection模块举例,解释了攻击者如何利用不安全的用户输入执行恶意命令。低级别示例显示了如何使用连接符&&执行额外的系统命令。文章指出,命令注入的根源在于Web服务器未有效检测用户参数,并提到了防止这种攻击的方法,如白名单验证。
摘要由CSDN通过智能技术生成

操作系统命令注入漏洞检测及加固

1.DVWA之命令注入漏洞

注入 sql注入 命令注入 提供注入的接口 - url参数
Sql 后台程序,执行我们构造的sql语句 后台执行 返回结果
Sql是命令注入的一种,针对数据库
命令注入,通过命令接口,植入系统命令
Ping的是服务器上的自己
Low 127.0.0.1&&cat /etc/passwd

命令注入

简介:

命令注入是一种攻击,其目标是通过易受攻击的应用程序在主机操作系统上执行任意命令。当应用程序将不安全的用户提供的数据(表单、Cookie、HTTP表头等)传递给系统shell时,可能会产生命令注入漏洞。在进行攻击时,攻击者提供的操作系统命令通常以易受攻击的应用程序的权限执行。

产生原因:

web服务器没有对用户提交的参数进行有效的检测过滤
操作系统允许一条语句在使用连接符和管道符后执行多条命令
Low级别
登陆DVWA平台,选择Low级别然后进入Command Injection模块。
通过页面我们可以看出这是让你输入一个IP地址然后对其进行Ping测试,因此我们先只输入一个地址观察一下。

这里我们可以看到在下方返回了对127.0.0.1进行Ping检测的内容,因此我们可以猜测这里有一个可以执行系统命令的函数,则这里可能存在命令注入漏洞,且执行的命令为Ping 输入的内容。

然后我们进行测试,我们利用windows命令的连接符&&进行测试。这里我们输入127.0.0.1&&dir

可以看见这里不仅仅返回了127.

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值