DVWA—命令注入(Command Injection)

已于 2022-06-25 20:54:50 修改
阅读量754 收藏 3
点赞数
分类专栏: DVWA通关教程 文章标签: php 安全 web安全
于 2022-06-25 13:14:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54537919/article/details/125458201
版权
本文探讨了DVWA中的命令注入问题,这是一种安全漏洞,允许黑客通过构造特定命令执行外部程序。主要关注PHP环境下的命令注入,指出常见的原因在于开发者未严格过滤用户输入。文章分为low、medium和high三个级别分析,详细解释了不同情况下攻击者可能使用的命令连接符,并揭示了源码中过滤机制的不足之处。
摘要由CSDN通过智能技术生成

DVWA—命令注入(Command Injection)

原理

命令注入攻击,是指由于Web应用程序对用户提交的数据过滤不严格,导致黑客可以通过构造特殊命令字符串的方式,将数据提交至Web应用程序中,并利用该方式执行外部程序或系统命令实施攻击,非法获取数据或者网络资源等。在命令注入的漏洞中,最为常见的是PHP的命令注入。PHP命令注入攻击存在的主要原因是Web应用程序员在应用PHP语言中一些具有命令执行功能的函数时,对用户提交的数据内容没有进行严格的过滤就带入函数中执行而造成的。例如,当黑客提交的数据内容为向网站目录写入PHP文件时,就可以通过该命令注入攻击漏洞写入一个PHP后门文件,进而实施下一步渗透攻击。

low

查看源码

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
	// Get input
	$target = $_REQUEST[ 'ip' ];

	// Determine OS and execute the ping command.
	if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
		// Windows
		$cmd = shell_exec( 'ping  ' . $target );
	}
	else {
		// *nix
		$cmd = shell_exec( 'ping  -c 4 ' . $target );
	}

	// Feedback for the end user
	$html .= "<pre&
最低0.47元/天 解锁文章
瑶~why
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
命令执行漏洞
sjp_1996的博客
04-26 372
命令执行漏洞的原理: 应用程序有时会调用一些执行系统命令的函数,例如在PHP中,使用函数system、exec、shell_exec、passthru、popen、proc_popon等,可以执行系统命令,当黑客能控制函数中的参数时,就可以将系统命令拼接到正常的命令中,从而造成命令执行攻击; DVWA实验 在操作系统中, & 、&& 、| 、 || 都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命
DVWA-命令注入
weixin_51513059的博客
11-01 5213
DVWA-命令注入通关 命令注入相関概念及命令注入的防御
白帽工具箱:DVWA中的命令注入Command Injection)解析与防护策略
最新发布
技术随笔
07-08 748
注入Command Injection)是一种严重的安全漏洞,攻击者通过将恶意命令注入系统,能够执行未经授权的操作。这种攻击通常发生在应用程序直接使用用户输入构建系统命令的情况下。在DVWA(Damn Vulnerable Web Application)环境中学习命令注入,可以帮助安全研究人员了解其原理和防护策略。
DVWACommand Injection命令注入
RexHa的博客
09-29 1116
DVWA命令注入三个等级通关
DVWA通关攻略之命令注入
勿山几已
05-06 2277
简要介绍命令注入漏洞,演示手工和burp爆破挖掘命令注入漏洞/RCE
2、DVWA——命令注入
qq_55202378的博客
08-29 507
DVWA 命令·注入
Kali下利用XAMPP搭建DVWA及使用command injection
07-25
本篇文章将详细介绍如何在Kali Linux环境下利用XAMPP快速搭建DVWA环境以及演示如何利用Command Injection命令注入)漏洞进行攻击。 #### 二、准备环境 **步骤1:安装Kali Linux** 1. **安装虚拟机软件**:首选...
命令注入讲解ppt.pptx
08-10
其中 Command Injection 模块就是我们本次学习所需要使用到的。 DVWA 示例讲解: 进入页面后,可以看到 DVWA 提供了测试域名 /IP 的 Ping 服务(命令执行漏洞测试模块),并将 Ping 命令的执行过程显示出来。下面...
2020-12-01-DVWA.md
01-24
Command Injection命令注入)是一种常见的安全漏洞,攻击者可以通过这种漏洞向应用程序发送恶意命令,进而执行非法操作。DVWA(Damn Vulnerable Web Application)是一款专为Web安全培训设计的应用程序,提供了...
DVWA-master.zip
06-09
4. **命令注入**:DVWA的"Command Injection"部分展示了如何通过注入恶意命令来控制服务器操作系统。这可能导致服务器被滥用,执行攻击者指定的操作。 5. **认证与会话管理**:通过"Authentication"和"Session ...
DVWA最新版
03-23
在"Command Injection"模块中,你将学习如何防止这种攻击,确保应用程序只执行预期的命令。 此外,会话管理是Web安全中的关键环节。DVWA的"Session Hijacking"和"Session Fixation"挑战让你深入理解会话劫持和会话...
DVWA靶场系列(一)—— Command Injection命令注入
qq_45612828的博客
07-10 3759
DVWA靶场系列(一)—— Command Injection命令注入
DVWA--CommandInjection
weixin_45038413的博客
05-09 224
Low等级 正常操作 127.0.0.1&&ls / Medium等级 过滤了&&和; 127.0.0.1&ls / High等级 过滤了’&’,’;’,’| ‘,’-’,’$’,’(’,’)’,’`’,’||’ 127.0.0.1|ls / Impossible等级 检查了ip的合法性,有效防止了命令注入 常用的命令连接符号:&amp...
DVWAcommand injection
__52Hz__
07-28 1268
原文地址:http://www.fwqtg.net/注入技术-dvwa命令注入.html (转载了部分内容) Command Injection,即命令注入攻击,是指由于Web应用程序对用户提交的数据过滤不严格,导致黑客可以通过构造特殊命令字符串的方式,将数据提交至Web应用程序中,并利用该方式执行外部程序或系统命令实施攻击,非法获取数据或者网络资源等。 一
DVWA —— Command Injection 命令注入
YouTheFreedom的博客
05-21 388
命令执行漏洞是指代码未对用户可控参数做过滤,导致直接带入执行命令的代码中,对恶意构造的语句,可被用来执行任意命令。黑客可在服务器上执行任意命令,写入后门,从而入侵服务器,获取服务器的管理员权限,危害巨大。
DVWA命令注入Command Injection
chtdgf的博客
01-31 1723
DVWA命令注入Command Injection) 1.解决乱码问题 在文本框中输入”ip address”后结果显示为乱码,如下图所示。 解决此问题的方法:在DVWA-master\dvwa\includes目录下找到dvwaPage.inc.php文件中所有的”charset=utf-8”,修改”charset=gb2312” 2.基础知识 &&这个就是我们经常说的and,cmd1&&cmd2意思为当cmd1执行成功以后才执行cmd2,否则不执行cmd2 &a
dvwa学习之命令注入command injection
caption88的博客
01-10 245
首先你可能会遇见ping一个ip后出现乱码的情况,那就是在DVWA-master\dvwa\includes目录下的到dvwaPage.inc.php文件中设置的字体是utf-8,解决方法把所有的”charset=utf-8”,修改”charset=gb2312”。(真实情况,俺遇见解决了回来改)。 学习命令注入,首先去看high等级的源码。因为你会发现,低级和中级只是使用的符号不一样。如...
dvwa---命令注入
qq_74806534的博客
01-09 1074
ping (Packet Internet Groper),因特网包探索器,用于测试网络连接量的程序。Ping发送一个ICMP;回声请求消息给目的地并报告是否收到所希望的ICMP echo (ICMP回声应答)。我个人认为:它是用来检查网络是否通畅或者网络连接速度的命令,ping命令可以对一个网络地址发送测试数据包,看该网络地址是否有响应并统计响应时间,以此测试网络。
dvwa命令注入提权
12-05
根据提供的引用内容,dvwa命令注入提权的思路如下: 1.尝试写入一个php文件,可以使用如下命令: ``` echo '($_GET["cmd"]); ?>' > /var/www/html/cmd.php ``` 这个命令会在/var/www/html/目录下写入一个名为cmd....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

瑶~why

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值