Kali渗透测试:使用Metasploit对Web应用的攻击
Web应用程序的漏洞数量众多,这里我们以其中一个命令注入漏洞为例复现一下。这种漏洞源于Web应用程序没有对用户输入的内容进行准确的验证,从而导致操作系统执行了攻击者输入的命令。下面是一段运行在Metasploitable2靶机上的PHP脚本,它来自于DVWA,代码如下:
<html>
<body>
<form name="ping" action="#" method="post">
<input type="text" name="ip" size="30">
<input type="submit" value="submit" name="submit">
</form>
</body>
</html>
首先是是一个带有输入框的页面代码,在浏览器中这段代码会被执行成一个如下图所示的页面:
当用户在 图中所示的文本框中输入一个IP地址,例如“127.0.0.1”,服务器会将这个值传递给下面的PHP脚本进行处理。
<?php
if(isset($_POST['submit'])){
$target = $_REQUEST['ip'];
$c