目录
DVWA—command injection 漏洞练习
Command Injection,即命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一 ;
用户通过浏览器提交执行命令,由于服务器端没有对执行函数进行过滤,从而造成可以执行危险命令。
小科普:
命令连接符:
command1 && command2 先执行command1后执行command2
command1 | command2 只执行command2
command1 & command2 先执行command2后执行command1
以上三种连接符在windows和linux环境下都支持
常用的注入命令:
command1 & command2
不管command1执行成功与否,都会执行command2(将上一个命令的输出作为下一个命令的输入)
command1 && command2
先执行command1执行成功后才会执行command2
command1 | command2
只执行command2
command1 || command2
command1执行失败,再执行command2(若command1执行成功,就不再执行command2)
常用的url编码:
%20 = 空格
%5c = \
%26 = &
%7c = |
(以上来自网络上一位大哥@https://www.cnblogs.com/ApricityJ/,我觉着解释的相当可,
侵删~)
Low(初级)测试:
发现乱码,不喜欢。改掉