commix命令执行利用工具

最新推荐文章于 2024-07-24 09:01:14 发布
最新推荐文章于 2024-07-24 09:01:14 发布
阅读量5.4k 收藏 4
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/73380533
版权

参考:
http://www.hackingarticles.in/bwapp-command-injection-exploitation-using-commix-bypass-security/
看着他就这么利用commix这个工具,就把我之前找了半天writeup都解不了的给解了,于是也想试试。
上图
这里写图片描述
不知道为什么,明明我输入了cookie,它还是要302重定向我到登录页面,之前明明我已经登录了啊,难道是UA的缘故?
待我去找找它怎么实现的。
算了源码太长,没精力看了
https://github.com/commixproject/commix/blob/master/commix.py
虽然这个工具是在跟bee机器交互,然而在bee上却找不到已经建立的跟相关的tcp连接。只有两个已经建立的22端口的连接。我想这利用的是80端口,也没有80端口的已经建立的TCP。

bee@bee-box:/tmp$ netstat -plant|grep ESTABLISHED
(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)
tcp6       0      0 192.168.170.130:22      192.168.170.1:50088     ESTABLISHED -
tcp6       0      0 192.168.170.130:22      192.168.170.1:50110     ESTABLISHED -

通过wireshark抓包,不管是在wireshark里查找字符串还是直接对.pcap文件进行strings,依然找不到想要的字符串,那这个commix到底怎么实现的呢?
这里写图片描述
后来再又想,是不是经过base64加密过了,所以找不到那个字符串。

caiqiiqi
关注
专栏目录
kali commix工具使用详细教程
weixin_49071539的博客
11-19 3781
COMMIX 简介 commix 是一款由 python 编写,开源自动化检测系统命令注入工具 下载地址如下 github.com/commixproject/commix 参数 选项: -v           VERBOSE详细程度级别(0-1,默认值:0)。 –version       显示版本号并退出。 –output-dir=…   设置自定义输出目录路径。 -s SESSION_FILE   从存储(.sqlite)文件加载会话。 –flush-session   刷新当前目标的会话文件。 –
commix工具配合命令注入
Sylon的博客
06-11 4093
commix简介 commix是一款由python编写,开源自动化检测系统命令注入工具https://github.com/commixproject/commix commix参数 选项: -v          VERBOSE详细程度级别(0-1,默认值:0)。 --version      显示版本号并退出。 ...
串口调试工具commix1.4
11-30
commix1.4版 为工业控制设计的串口设备调试工具,已被许多同行使用,主要特点: 1、能根据设备的通讯协议,方便地生成多种冗余校验如Modbus,并加上结束符,适用于大多数串口通讯的工业设备; 2、能够混合输入16进制数、10进制数、ASCII字符,这种功能通过转义符“\\”实现; 3、支持串口1~255,支持各种虚拟串口,可以自定义任意通讯参数组合,随时改变参数而不用关闭串口,支持不常用的波特率等; 4、可以测出设备的响应间隔; 5、通讯数据可保存到RTF文件,参数设置可保存到注册表reg文件。 6、可切换中文/英文显示。
揭秘最为知名的黑客工具之一:Commix(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_paipai的博客
07-24 980
工具介绍CommixCommand Injection Exploiter)是一款专门用于检测和利用 Web 应用程序中的命令注入漏洞的开源工具命令注入漏洞是指通过恶意输入使得应用程序执行未预期的系统命令,这种漏洞可以让攻击者在服务器上执行任意命令,获取系统权限,甚至完全控制服务器。Commix 能够自动检测并利用这些漏洞,帮助安全测试人员快速发现并修复问题。工具特点自动化检测和利用Commix 能够自动检测并利用命令注入漏洞,极大地提高了测试效率。多种检测模式。
串口调试工具-commix1.2
08-28
串口调试工具-commix1.2;工具描述;使用方法;详细参数配置
kali使用详细
04-14
这篇文档可以教你快速搭建一个标准的渗透环境
最新kali之commix
vanony的博客
01-09 745
选项: -h,--help 显示帮助信息   常规:   这些选项与一般事项有关。 -v VERBOSE 详细级别(0-4,默认值:0) --version 显示版本号并退出。 --output-dir=OUT.. 设置自定义输出目录路径。 -s SESSION_FILE 从已存储的(.sqlite)文件加载会话。 --flush-session 刷新当前目标的会话文件。 --ignore-session 忽略存储在会话文件中的结果。 -t TRAFFI
commix:自动化的多合一OS命令注入和利用工具
02-05
通过使用此工具,很容易在某些易受攻击的参数或HTTP标头中查找和利用命令注入漏洞。 法律免责声明 对于每次混合运行,最终用户必须同意以下前言: (!) Legal disclaimer: Usage of commix for attacking targets ...
Commix
03-22
通过使用此工具,可以很容易地在某个易受攻击的参数或HTTP标头中查找和利用命令注入漏洞。 法律免责声明 对于每次混合运行,最终用户必须同意以下前言: (!) Legal disclaimer: Usage of commix for attacking ...
commix 数据抓包工具
11-07
4. **数据收集与反馈**:工具会收集命令执行的结果,通过输出分析,判断是否存在注入漏洞。 **二、Commix 使用步骤** 1. **安装**:通常,你可以通过 Python 的包管理器 pip 来安装 Commix命令是 `pip install ...
串口通信工具commix.zip
07-05
此外,它还支持批量发送命令,这对于执行一系列操作或者自动化测试序列特别方便。 接收数据方面,Commix具备实时显示接收到的数据的功能,这有助于开发者分析返回的响应。它会以文本形式显示数据,并可选择不同的...
ModBus串口调试工具Commix
03-09
对使用Modbus协议通讯的设备与终端,使用此工具简单易用。 特点: 1. ASCII,HEX两种数据格式 2. Com1-Com16 3. 任意波特率设置 4. 5-8位数据位 5. 可以设置自动换行 6. 可以设置空格过滤 7. 可以显示时间间隔
串口调试工具Commix V1.3
09-05
串口调试工具Commix V1.3 非常好用的工具。。。。
串口调试工具Commix
03-30
Commix 混合输入串口调试工具 Commix设计为串口调试工具,最大特点是:能够混合输入16进制数、10进制数、ASCII字符,这种功能通过转义符“\”实现。 界面说明: 1、 HEX: 输入数据看作16进制字节,不区分大小写 ASCII: 输入数据看作ASCII字符 忽略空格输入: 是否忽略用户输入数据中的空格 自动换行: 是否在接收与发送的数据之间自动换行显示 2、 在HEX和ASCII方式输入时,转义符输入都有效 3、 在ASCII方式,20h到7Eh的字符直接显示,其他字符显示为转义符形式 4、 如果改变显示区的光标位置,新的显示将插入在光标处 5、 用户输入(从串口输出)的数据显示为绿色,从串口输入的数据显示为蓝色,发送到接收之间的间隔时间(毫秒)显示为灰色,用户在显示区输入的字符显示为黑色 6、 程序不检测串口状态,因此也能用于最简单的3线制(第2、3、5针)RS232通讯 7、 串口打开后,修改通讯参数时不必关闭,新参数立即生效 8、 程序结束时,参数自动保存到注册表;点击注册表图标,可将当前设置保存到注册表文件 校验使用: 1、 主界面上,“校验”复选框被选中时,会出现校验设置窗口 2、 选择不同的校验方式,会有不同的选项出现 HEX/ASCII: 选择校验结果的存放方式 3、 如果校验被允许,程序将按“数据 校验 结束符”的顺序发送,结束符的默认格式与主界面上的HEX/ASCII设置相同 转义符使用: 1、 16进制输入: \xhh 2、 10进制输入: \ddd 3、 预定义字符输入: \ccc 或 \cc 或 \\ 4、 显示字符输入: \ra 5、 转义符输入长度必须与上述相符,不区分大小写 转义符使用举例: \x1B 、\027 、\ESC 的值是 1Bh \x0d 、\013 、\cr 的值是 0Dh \rA 、\065 的值是 41h \\ 、\r\ 、\x5C 的值是 字符\ ASCII输入: \stx011234R01\etx57\cr\lf 与HEX输入:02 30 31 31 32 33 34 \rR 30 31 03 \r5 \r7 \cr\lf 是相同的 转义符中的预定义字符: 输入 值 \\ 字符\ \LF 0Ah \CR 0Dh \NUL 0 \SOH 1 \STX 2 \ETX 3 \EOT 4 \ENQ 5 \ACK 6 \NAK 15h \CAN 18h \ESC 27h ************** 可以设置波特率 主要特点:可以对接收的数据进行校验 可以是十六进制或者字符形式发送
commix软件工具
03-04
CRC16校验码生成工具,可以生成CRC16校验码,支持MODBUS RTU通讯协议
COMMIX串口调试软件
07-22
一款还可以的串口调试软件 试试看吧~~ 哈哈
Commix 工业控制串口调试工具 (使用说明)
创世纪GENESIS
05-18 5696
为工业控制设计的串口设备调试工具,主要特点: 1、能根据设备的通讯协议,方便地生成多种冗余校验如Modbus,并加上结束符,适用于大多数串口通讯的工业设备; 2、能够混合输入16进制数、10进制数、ASCII字符,这种功能通过转义符“\”实现; 3、支持串口1~255,支持各种虚拟串口,可以自定义任意通讯参数组合,随时改变参数而不用关闭串口,支持不常用的波特率等; 4、可以测出设备的响应间隔; 5、通讯数据可保存到Rtf文件,参数设置可保存到Reg文件。 主要说明...
commix注入工具
zhaji001
10-22 3191
commix简介 commix是一款由python编写,开源自动化检测系统命令注入工具  https://github.com/commixproject/commix commix 参数 选项: -v           VERBOSE详细程度级别(0-1,默认值:0)。 --version       显示版本号并退出。 --output-dir=..   设置...
COMMIX——串口调试助手
08-16
COMMIX——串口调试助手,可以很方便的在上位机和下位机调试串口。硬件工程师必备!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值