DVWA常见之命令漏洞命令学习记录

于 2024-03-29 11:30:03 发布
阅读量848 收藏 4
点赞数 29
文章标签: docker 运维 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32207665/article/details/137138320
版权
这篇文章介绍了开源漏洞应用DVWA中的命令注入漏洞,列举了可用于测试的14个常见命令,提醒读者在安全环境中学习,切勿在非法情境下使用这些技巧。
摘要由CSDN通过智能技术生成

     DVWA(Damn Vulnerable Web Application)是一款用于学习和测试Web应用程序安全的开源漏洞应用程序。在DVWA中,有一类漏洞被称为命令注入漏洞,它允许黑客通过在Web应用程序中注入恶意命令来执行任意操作。

下面是一些常用的命令解释,用于在DVWA中利用命令注入漏洞:

1. whoami:查看当前登录用户的用户名。

2. id:显示当前用户的UID(用户ID)、GID(组ID)和所属组。

3. ls:显示当前目录下的文件和文件夹。

4. pwd:显示当前工作目录的路径。

5. cat filename:显示文本文件的内容。

6. echo "text":输出指定的文本。

7. mkdir directory:创建一个新的目录。

8. touch filename:创建一个新的空文件。

9. rm filename:删除指定的文件。

10. mv source destination:移动或重命名文件或目录。

11.ipconfig   查看网卡信息

12.shutdown  -s -t 0   关机 

13.netuser [username] [password] /add  增加一个用户名为username密码为password的用户

14.type [file_name]  查看filename文件内容 

常用命令连接符:

cmd1|cmd2  cmd1是否成功都会执行cmd2执行

cmd1;cmd2  cmd1是否成功都会执行cmd2执行

cmd1&cmd2  cmd1是否成功都会执行cmd2执行

cmd1||cmd2  cmd1失败会执行cmd2执行

cmd1&&cmd2  cmd1成功后会执行cmd2执行

如下图大家可以在自己电脑试试看(注意不要乱用):

使用的时候需要设置这里的级别每个级别过滤效果安全级别不一样的!

      大家可以点击这里设备每一个级别去看看效果。

      以上是一些常见的命令,可以用于利用DVWA中的命令注入漏洞。请注意,在真实环境中,利用命令注入漏洞是非法的,并可能导致严重的安全问题。因此,仅在合法和受控的环境中使用这些命令。

逗比一枚
关注
  • 29
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DVWA命令注入,CSRF,文件包含漏洞攻击
m0_57116761的博客
08-18 591
命令注入 1. low(低级) 正常ping一个ip 然后发现后边可以输入空格 我们就可以尝试获取对方的用户名称 2.medium(中级) 中级会过滤掉“&&”和“;” 过滤只过滤一次,不会循环过滤 所以我们可以尝试在两个“&&”中间加一个“;” 看来我们是成功了 也可以尝试只输入一个“&” 哦豁,老天在眷顾我们 3.high(高级) 高级过滤掉很多符号 但是“| ”管道符后边多了一个空格,所以我们来试试看 ”&a..
通过DVWA学习命令执行漏洞(Command Execution)
Mi1k7ea
01-20 6543
通过DVWA学习命令执行漏洞(Command Execution)   作为初学者的笔记,有何问题或建议请大牛们不吝指教~ 在系统终端中,要想输入多条命令,可以在一条命令结束之后用分号(;)来隔开进而进行下一条命令执行。另外也可以通过&&来替换分号,前提是前面的命令正确执行之后才能接着执行后面的命令命令执行漏洞也正因此而产生。   先看low级: 提示让我们输入一个IP地址来实现p
渗透测试经典靶场学习-DVWA练习.
07-02
渗透测试经典靶场学习-DVWA练习.
【P4】Windows 下搭建 DVWA命令注入漏洞详解
qq_45138120的博客
06-24 4582
包括 Windows 下六步搭建 DVWA、危害巨大的漏洞命令注入、解决 DVWA 乱码问题、Command Injection 命令注入解决方法、防御漏洞之防御 low、命令注入漏洞之防御 Medium、命令注入漏洞之防御 high、命令注入漏洞之防御 impossible。
DVWA---文件包含漏洞(亲测哦)
weixin_44034479的博客
07-07 892
Weak Session IDs 原理: 用户登陆后,在服务器端就会创建一个会话(Session),接着访问页面的时候就不用登陆,只需要携带Session去访问。SessionID作为特定用户访问站点所需的唯一内容。这样会被猜出来,从而获取访问权限,无需登录密码直接进入特定用户界面,进而进行其他操作。 低级 步骤 代码分析 用户的 last_session_id 不存在就设为 0,存在就直接在原来的基础上加1。容易被人伪造,而且不能保证每个人的session是不一样的,容易造成冲突。 低级别只是将co
DVWA命令注入漏洞
weixin_56306210的博客
02-06 2229
DVWA命令注入漏洞
DVWA通关攻略之命令注入
勿山几已
05-06 2234
简要介绍命令注入漏洞,演示手工和burp爆破挖掘命令注入漏洞/RCE
DVWA-安装-漏洞测试-漏洞修复指南.docx
05-17
DVWA-安装-漏洞测试-漏洞修复指南-需要安装 xpmpp或WampServer。
DVWA-master.zip_DVWA_php_漏洞_靶场
09-24
php攻防练习靶场,多种漏洞组合,练习代码审计,避免开发出现漏洞
DVWA靶场,集成了owasp top 10漏洞
03-28
DVWA(Damn Vulnerable Web Application)是一个开源的Web应用程序,专为网络安全专业人士设计,用于学习和测试各种Web安全漏洞。这个靶场集成了OWASP(Open Web Application Security Project)的Top 10漏洞,这些...
DVWA学习笔记全等级
06-08
DVWA学习笔记全等级
命令执行漏洞学习DVWA
weixin_74012678的博客
08-08 595
命令执行漏洞(Command Execution Vulnerability)是指攻击者可以利用该漏洞在服务器上执行任意命令。这种情况通常发生在一个应用程序接受用户输入,并在没有适当验证和清理的情况下,直接将这些输入用作系统命令的一部分。
dvwa中的文件包含攻击
无痕的博客
01-17 1835
文件包含攻击介绍与在dvwa中的演示
DVWA命令执行漏洞复现
weixin_43263451的博客
07-19 1149
命令执行漏洞漏洞原理当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。在操作系统中,“&、|、||”都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的...
dvwa———— 命令执行漏洞
GZY0601的博客
09-20 638
今天我们来讲一下,命令执行漏洞命令执行漏洞简介命令执行漏洞就是黑客可以直接在web应用中执行系统命令,从而获取敏感信息或者拿下shell权限说实话这个漏洞也算比较简单的,只要熟悉了windows和linux的基础命令,这里基本都玩的明白,这个漏洞也算是高危的,如果实战遇到直接起飞。好啦,以上内容为我个人理解,不喜勿喷,如有写错欢迎指出!
DVWA(通关+代码分析)
weixin_53884648的博客
08-04 1561
简要概括和测试了DVWA全部漏洞
检测和利用命令注入漏洞
m0_71948933的博客
06-21 389
返回一个完整路径的文件列表,有不止一个版本的 NetCat,它是用来生成连接的工具。|:代表首先执行a命令,在执行b命令,不管a命令成功与否,都会去执行b命令。(当命令a失败时,它仍然会执行命令b,表示A命令语句的输出,作为B命令语句的输入执行。&:代表首先执行命令a再执行命令b,不管a是否成功,都会执行命令b。||:代表首先执行a命令执行b命令,只有a命令执行不成功,才会执行b命令。&&:代表首先执行命令a,若成功再执行命令b,又被称为短路运算符。可以看到通过whoami获取到了当前用户。
DVWA靶场01-系统命令执行漏洞利用及防护(Low/Medium/Hight)
AkangBoy的博客
11-11 3001
本文主要介绍了在DVWA靶场环境下系统命令执行漏洞的利用姿势,包括Low、medium、High三个级别
DVWA (SQL injection)
m0_55563900的博客
02-28 400
DVWA (SQL injection) 先输入 1 ,查看回显 (URL 中 ID=1,说明 php 页面通过 get 方法传递参数) 查看字段 输入 1’ order by 1# 和 1’ order by 2# 时都返回正常: 当输入 1’ order by 3#时 出现错误 由此可知,users 表中只有两个字段,数据为两列 接下来使用union select获取信息 输入 1’ union select database(),user()# database()将会返回当前网站所使用的数据
DVWA系统命令执行漏洞利用
最新发布
10-20
DVWA系统命令执行漏洞是指攻击者通过DVWA系统中的漏洞,成功执行系统命令,从DVWA系统命令执行漏洞是指攻击者通过DVWA系统中的漏洞,成功执行系统命令,从而获取系统权限或者窃取敏感信息。攻击者可以通过输入恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值