【渗透测试-web安全】DVWA-命令注入

最新推荐文章于 2024-05-10 11:20:46 发布

Just_Do_Eat

最新推荐文章于 2024-05-10 11:20:46 发布

阅读量674

点赞数

分类专栏：网络安全文章标签：渗透测试 web安全 DVWA 命令注入网络安全

本文链接：https://blog.csdn.net/harry_c/article/details/102787339

版权

网络安全专栏收录该内容

20 篇文章 1 订阅

订阅专栏

【渗透测试-web安全】DVWA-命令注入

一、实操
二、怎么解决没有回显的命令注入
- 延时注入
- 远程请求
三、防范命令注入

一、实操

设置low等级
在这里插入图片描述
使用功能

我们发现功能是直接使用输入IP地址系统反馈ping命令的结果首先测试 127.0.0.1
使用命令拼接：127.0.0.1&&dir

很简单就实现了命令注入，当然这是简单的等级，其他级别自行尝试，有问题可以私信我的CSDN账号哦
常见命令拼接符号：

连接命令	使用方法	作用
&&	A&&B	A执行成功才会执行B
&	A&B	简单的拼接，AB之间没有约束关系
\|	A\|B	A的输出作为B执行的输入
\|\|	A\|\|B	A执行失败才会执行B

二、怎么解决没有回显的命令注入

延时注入

		windows : ping 127.0.0.1 -n 5 >nul
		Linux：sleep 5

远程请求

		windows：ping、telnet等
		Linux：wget、curl等

三、防范命令注入

	设置黑名单（对于某些命令使用黑名单的形式进行限制，不太推荐）
	设置白名单 对执行的命令设置白名单，其他的都被限制

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Just_Do_Eat

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

DVWA之命令注入漏洞

HoYim

04-11

362

命令注入 1.Windows：（WinServer2003–192.168.31.2的dvwa： A;B 先A后B A&B AB无制约关系 A|B 显示B的执行结果 A&&B A成功执行B A||B A失败执行B 低安全级别：看源码（windows系统默认发四个包，Linux系统默认是一直发包，所以得-c 4） 127.0.0.1&&dir（...

Dvwa渗透测试之命令注入笔记

JBlock的博客

10-29

4915

今天我们我们讨论下命令注入，在之前我已经就命令注入的理论注入的理论知识做了介绍，所以只是在简单说一下，不再缀述。命令执行执行漏洞是指攻击者可以随意执行系统命令，它属于高危漏洞之一，也属于代码执行的一部分。漏洞产生原因：1.过多调用系统命令，或者说是在调用系统命令时不慎重。2.在调用系统命令时过滤不严格。3.在web开发中使用了一些不可控的函数或使用类不恰当，如eval()(动态执行php代码的函

参与评论您还未登录，请先登录后发表或查看评论

新萌渗透测试入门DVWA 教程1：环境搭建

weixin_34128534的博客

03-11

221

首先欢迎新萌入坑。哈哈。你可能抱着好奇心或者疑问。DVWA 是个啥？ DVWA是一款渗透测试的演练系统，在圈子里是很出名的。如果你需要入门，并且找不到合适的靶机，那我就推荐你用DVWA。我们通常将演练系统称为靶机，下面请跟着我一起搭建DVWA测试环境。如果你有一定的基础，可以直接看下面一章节。 0x00 前言我这里用的是win7 系统，为啥要用win7。因为刚好我这里有现成的系统。其实...

DVWA之命令注入漏洞(Command injection)

内心不种满鲜花就会长满杂草

03-10

4866

命令执行漏洞的原理：在操作系统中，“&、|、||”都可以作为命令连接符使用，用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，将用户的输入作为系统命令的参数拼接到命令行中，在没有过滤用户输入的情况下，造成命令执行（注入）漏洞。 ...

渗透测试--DVWA命令注入

qq_45070118的博客

07-30

1812

DVWA 命令注入:利用各种调用系统命令的web应用,通过命令拼接、绕过黑名单等方式实现在服务端实现想要实现的系统命令。如何配置登陆看我的burpsuite爆破文章中就有这次我分为linux和windows两个版本登录时分别把登陆网址的IP改为目标系统的IP即可 DVWA（Damn Vulnerable Web Application）是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应...

渗透测试环境部署DVWA

10-29

DVWA（Damn Vulnerable Web Application）是一款专门为渗透测试和安全教育设计的开源Web应用程序。在这个环境中，我们可以模拟各种常见Web漏洞，如SQL注入、跨站脚本（XSS）、文件包含、命令注入等，以学习如何检测...

渗透测试初学者资源 DVWA压缩包

12-23

渗透测试是网络安全领域中一项重要的技能，主要用于模拟黑客攻击，以评估系统安全防护能力。DVWA（Damn Vulnerable Web ...记住，安全测试不仅仅是找到漏洞，更重要的是理解它们的工作原理，以便有效地预防和修复。

2020-10-18-kali搭建DVWA.md

01-24

DVWA（Damn Vulnerable Web Application）是一款被设计用于安全测试人员进行渗透测试实验的Web应用平台，它包含了多种常见的Web应用程序漏洞，如SQL注入、XSS跨站脚本攻击等。本文将详细介绍如何在Kali Linux操作...

DVWA-master.zip

01-04

DVWA（Damn Vulnerable Web Application）是一个用于安全测试和教育目的的开源Web应用程序。它旨在帮助安全专业人员、开发人员和学生了解常见Web应用程序漏洞，并提供实践环境来检测和修复这些问题。DVWA-master.zip...

DVWA靶机-命令注入漏洞(Command Injection)

weixin_43726831的博客

10-13

4224

DVWA靶机-命令注入漏洞

DVWA关卡2：Command Injection(命令注入漏洞)

m0_54899775的博客

12-06

1075

DVWA关卡2：Command Injection(命令注入漏洞)

DVWA命令注入（Command Injection）漏洞代码审计

Libra10913的博客

06-11

593

DVWA命令注入（Command Injection）漏洞代码审计

DVWA靶场-命令注入漏洞~保姆级教程！！！

最新发布

2301_77360738的博客

05-10

744

超详细的dvwa靶场Command injection命令注入漏洞低、中、高等级的全面讲解，小白入！！！

DVWA（2）命令注入漏洞(Command Injection) LOW-HIGHT 操作记录

lllllaaa111的博客

10-27

703

初次接触DVWA，写下自己的操作记录，希望可以帮助每个刚接触DVWA的新手，同时希望可以提升自己的技术。注：如有操作不当的地方希望可以得到大神指导、交流。也感谢之前查阅的各种大神提供的博客。

网络安全系列之十一系统命令注入***

weixin_34319817的博客

10-23

213

系统命令注入***也是一种古老的***手段，是指***可以在有漏洞的页面地址栏中直接执行操作系统命令。下面将来演示这种***的实现方式，以及如何配置WAF进行拦截，实验环境仍然使用NPMserv搭建。打开网站，在地址栏中的网址后面输入“?cmd=所要执行的命令”，如下图所示的http://192.168.1.3/?cmd=net user，可以发现命令能够成功执行。如果发现一个网站存在这种漏洞，...

DVWA之SQL注入漏洞与SQLmap

leaf_lucky的博客

01-24

701

对于以上两个语句，1=1会正常输出，而1=2 错误输出，可以说明SQL语句生效，SQL语句存在漏洞。用户输入SQL语句，执行了MySQL内置函数user(),database()而对于以下语句，可以发现没有语句，SQL语句变化，1!= 2,不能得到输出。输入上面的语句有正常输出，对于“#”的作用是注释后续SQL语句。点击第一个，找到cookie，复制下来，即是以下语句。上面语句为原本的SQL语句，下面语句为过滤后的语句。对于上面三句语句，依次进行判断，可以得到。输入1' order by 1#得到。

DVWA之命令注入

极光时流

04-07

1224

DVWA之命令注入 Low 查看源码： ip参数没有做任何的过滤就直接放在shell_exec函数中执行了，执行语句为shell_exec( 'ping 127.0.0.1 && whami ')。(linux下使用whoami查看用户命令，windows使用net user) low级别的代码接收了用户输入的ip，然后根据服务器是否是Windows NT系统，对目标ip进行...

渗透测试DVWA命令注入

09-08

对于渗透测试DVWA（Damn Vulnerable Web Application）中的命令注入，我们可以通过以下步骤进行测试和演示： 1. 首先，确保你已经正确地安装和配置了DVWA。你可以从官方网站上下载并按照说明进行安装。 2. 打开DVWA，在登录页面输入默认的用户名和密码（用户名：admin，密码：password），然后点击"Login"按钮。 3. 在左侧导航栏中选择"DVWA Security"，将安全级别设置为"low"。这样可以使应用程序更容易受到攻击，方便我们进行测试。 4. 在左侧导航栏中选择"Command Injection"。 5. 在"Enter any OS command"文本框中输入要执行的命令，例如：`ping 8.8.8.8`。 6. 点击"Submit"按钮。 7. DVWA会执行你输入的命令，并将结果显示在页面上。通过这个演示，你可以了解到在低安全级别下，DVWA容易受到命令注入攻击。在实际渗透测试中，我们需要利用这种漏洞来执行恶意命令并获取对应系统的访问权限。但是请记住，在实际渗透测试中，只能在授权的情况下对目标进行测试，并遵循法律和道德规范。