文章目录
一、前言
1、命令注入
命令注入漏洞主要是指服务器对来自网络的语句,没有进行严格的过滤,导致在执行合法命令的同时,也执行了一些恶意构造的非法命令,使得服务器被破坏。
通常命令注入是指os命令注入,即通过Shell执行OS命令。
2、命令拼接符
命令注入漏洞的利用,离不开命令拼接符,目前使用的命令拼接符有:& && | ||
四个。
a & b: a、b命令互不影响,各自执行
a && b: a 执行成功,才执行 b
a | b: a 的输出作为 b 的输入
a || b: a 执行失败才执行 b
例如:
输入命令:ping -c & chdir,前者为制定参数值,会执行失败,后者查看当前路径。
由于使用 & 拼接,因此两条命令互不影响,后者会执行并打印当前路径为 C:\Users\13714。
当使用命令:ping -c && chdir,只有前者成功才会执行后者,因此后者不会执行。