DVWA命令注入练习

本文介绍了在DVWA中进行命令注入攻击的练习过程,从低级别开始,通过输入如127.0.0.1| whoami等命令绕过ping检查,实现命令执行。还探讨了不同分隔符的使用,并提到了中级和高级难度的解决方案,强调了代码审计在解决此类问题中的重要性。
摘要由CSDN通过智能技术生成

DVWA命令注入练习

打开DVWA
在这里插入图片描述
难度先调为低级low
在这里插入图片描述
提交框中要求输入IP地址
首先尝试输入127.0.0.1进行测试,如下图
在这里插入图片描述
在尝试输入字符串whoami(肯定找不到的,因为没有这个域名)进行测试,如下图
在这里插入图片描述
以上两张图可知,此输入框中前面肯定有个ping命令。所以我们需要和谐前面的ping命令来进行注入。127.0.0.1的ip地址可以让ping命令和谐掉,然后执行分隔符(分隔符有很多种表示方法,例如&&,;,||,|,?,空格等很多)后面的命令进行注入。

输入命令127.0.0.1| whoami,执行后如下图即成功

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值