系统注入的简单例子
如果程序是通过操作系统>命令执行而获取数据的,再将数据发送给前端……而命令执行所需的参数是由前端提供给后端的……那就很可能被输入恶意参数,而使系统执行额外的命令。从而被人获取系统信息。
当然,这种情况现在应该是没有了。。。为了理解还是提一下。
现在有个这样一个例子,前端web页面的使用者,想要查询库存,发送的请求里有两个参数,这两个参数会被当做系统命令的参数执行,如下图,在参数后注入额外的系统命令,获取到本不该被获取的信息。
常见的注入命令
Purpose of command | Linux | Windows |
---|---|---|
Name of current user | whoami | whoami |
Operating system | uname -a | ver |
Network configuration | ifconfig | ipconfig /all |
Network connections | netstat -an | netstat -an |
Running processes | ps -ef | tasklist |
命令衔接需要了解的地方:
命令分隔符,可以将命令衔接起来,&、&&、|、|| 可以用在Windows和基于Unix的系统。; 和Newline (0x0a
or \n
)只能用在基于Unix的系统。
参考连接:https://portswigger.net/web-security/os-command-injection
盲注
盲注是,系统命令不会将执行结果返回到前端显示,用户不能直观的看见命令是否被执行。
通过延迟确认是否有注入
这个例子是,后端程序会调用mail程序,发送邮件。x是传给mail 的参数,后面衔接了一个注入命令。
因为几个参数是用&连接的,注入& ping -c 10 127.0.0.1 &的时候,用 || 代替 & ,用于命令衔接。否则会破坏请求格式。
通过重定向输出获取数据
这是有两个条件的,一是有系统命令注入漏洞,二是前端能访问服务器的某些文件,且他们在同一个服务器上。