命令注入这一章其实比上一章的暴力破解是要简单的,主要是了解一些命令注入的常用参数。
第一步是要先把难度改为low修改难度我上一章的暴力破解已经讲了不懂得可以去翻一下之后输入一个ip地址这里我是用自己的ip地址127.0.0.1
第二步先在View Source 中查看一下源码
可以发现没有设置任何过滤就是个ping程序
第三步再了解一下命令注入的常用参数
符号 命令形式 执行结果
&& command1&&command2 先执行command1如果为真在执行command2
& command1&comdand2 command1和command2同时执行,不管 command1是否成功
|| command1||comdand2 先执行command1如果为假在执行command2
| command1|comand2 只执行command2
; command1;command2 先执行command1,后执行command2
之后在输入要执行的命令这里我执行的是账号名命令whoami
因为没有过滤所以用那个参数都可以,这样就可以知道账号名了。
第一步修改难度为Meduim第一步同上先输入IP地址
第二步查看源码
可以发现做了一些过滤,过滤了&&和;所以如果在用这两个就执行不了结果了所以在试其他的
这里我用了&参数发现可以执行所以只要不是&&和;都可以执行
第一步修改难度为high还是先输入IP地址
第二步再查看源码
发现所有参数都被过滤了但他的是‘| ’所以我们可以用'|'这两个有什么区别呢没错就是空格计算机编程是十分严谨的就一个空格这就是两种意思接下来通关
本章完
注释:不可能难度我还不会之后学会再发一篇文章的