【渗透测试-web安全】DVWA-命令注入
一、实操
设置low等级
使用功能
我们发现功能是直接使用输入IP地址系统反馈ping命令的结果 首先测试 127.0.0.1
使用命令拼接:127.0.0.1&&dir
很简单就实现了命令注入,当然这是简单的等级,其他级别自行尝试,有问题可以私信我的CSDN账号哦
常见命令拼接符号:
连接命令 | 使用方法 | 作用 |
&& | A&&B | A执行成功才会执行B |
& | A&B | 简单的拼接,AB之间没有约束关系 |
| | A|B | A的输出作为B执行的输入 |
|| | A||B | A执行失败才会执行B |
二、怎么解决没有回显的命令注入
延时注入
windows : ping 127.0.0.1 -n 5 >nul
Linux:sleep 5
远程请求
windows:ping、telnet等
Linux:wget、curl等
三、防范命令注入
设置黑名单(对于某些命令使用黑名单的形式进行限制,不太推荐)
设置白名单 对执行的命令设置白名单,其他的都被限制