1、注入:通过web程序在服务器上拼接系统命令。
2、命令注入的三个条件
3、windows下链接命令的符号:&&、&、|、||命令拼接符号的区别
4、命令注入的攻击过程
5、渗透技巧:
(1)不推荐黑名单解决漏洞;如果使用黑名单过滤了敏感命令怎么办?
命令中可以加入双引号绕过敏感命令(此时黑名单很难匹配)
(2)如果不显示输出结果怎么办?
1、注入:通过web程序在服务器上拼接系统命令。
2、命令注入的三个条件
3、windows下链接命令的符号:&&、&、|、||命令拼接符号的区别
4、命令注入的攻击过程
5、渗透技巧:
(1)不推荐黑名单解决漏洞;如果使用黑名单过滤了敏感命令怎么办?
命令中可以加入双引号绕过敏感命令(此时黑名单很难匹配)
(2)如果不显示输出结果怎么办?