网络安全系列之十一 系统命令注入***

最新推荐文章于 2022-12-23 01:54:35 发布
最新推荐文章于 2022-12-23 01:54:35 发布
阅读量208 收藏
点赞数
文章标签: 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34319817/article/details/85072879
版权

系统命令注入***也是一种古老的***手段,是指***可以在有漏洞的页面地址栏中直接执行操作系统命令。下面将来演示这种***的实现方式,以及如何配置WAF进行拦截,实验环境仍然使用NPMserv搭建。

打开网站,在地址栏中的网址后面输入“?cmd=所要执行的命令”,如下图所示的http://192.168.1.3/?cmd=net user,可以发现命令能够成功执行。

image

如果发现一个网站存在这种漏洞,那下面的操作基本就没有什么技术含量了。无非是创建用户,加入管理员组,再开3389等等,具体操作可参考之前的“网站提权”博文。

下面配置WAF来进行防御。

仍是对P-deny策略进行配置,在“基本***防护”中创建一条名为“nocmd”的规则,在检测域中设置“参数”,在匹配方式中设置“正则匹配”,在数值中设置正则表达式。

这里根据系统命令注入***的特点,我设置如下的正则表达式:

.*?cmd.*

具体如下图所示:

image

再次进行命令注入,便会报错。

 

image

weixin_34319817
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解php命令注入攻击
01-20
命令注入攻击是一种网络安全漏洞,它发生在Web应用程序中,尤其是使用PHP等脚本语言构建的应用程序。攻击者通过注入恶意命令,利用应用程序中的弱点,绕过安全控制,执行非预期的系统操作。这通常发生在应用程序允许...
sql注入系列课程
06-11
SQL注入是一种常见的网络安全漏洞,它发生在应用程序接收用户输入并直接将其拼接到SQL查询中的情况下。这个系列课程深入探讨了SQL注入的基本概念、攻击方法以及如何防止这类威胁。以下是基于课程标题和描述所涵盖的...
网络安全系列十一 系统命令注入攻击
weixin_33892359的博客
11-15 1729
系统命令注入攻击也是一种古老的攻击手段,是指黑客可以在有漏洞的页面地址栏中直接执行操作系统命令。下面将来演示这种攻击的实现方式,以及如何配置WAF进行拦截,实验环境仍然使用NPMserv搭建。 打开网站,在地址栏中的网址后面输入“?cmd=所要执行的命令”,如下图所示的http://192.168.1.3/?cmd=net user,可以发现命令能够成功...
全国职业院校技能大赛中职组网络安全竞赛试题 —命令注入(笔记文档)
Jay
12-23 1479
三、命令注入 1.命令注入攻击的常见模式为:仅仅需要输入数据的场合,却伴随着数据同时输入了恶意代码,而装载数据的系统对此并未设计良好的过滤过程, 导致恶意代码也一并执行,最终导致信息泄露或者正常数据的破坏。 2.命令连接符: command1 && command2 先执行command1后执行command2 command1 | command2 只执行command2 command1 & command2 先执行command2后执行command1 以上三...
【渗透测试-web安全】DVWA-命令注入
harry_c的博客
10-28 593
【渗透测试-web安全】DVWA-命令注入一、实操二、怎么解决没有回显的命令注入延时注入远程请求三、防范命令注入 一、实操 设置low等级 使用功能 我们发现功能是直接使用输入IP地址系统反馈ping命令的结果 首先测试 127.0.0.1 使用命令拼接:127.0.0.1&&dir 很简单就实现了命令注入,当然这是简单的等级,其他级别自行尝试,有问题可以私信我的CS...
什么是操作系统命令注入
Loser5的博客
03-24 2086
什么是操作系统命令注入操作系统命令注入(shell 注入)是一种 Web 安全漏洞,攻击者在运行应用程序的服务器上执行任意操作系统 命令,通常会完全破坏应用程序及其所有数据。很多时候,攻击者可以利用操作系统命令注入漏洞来破坏托管基础设施的其他部分,利用信任关系将攻击转向组织内的其他系统。 实验演示: 一.OS命令注入,简单案例 修改storeID参数,在数值后添加|whoami。 这里给出一些常用的系统命令(Linux+window) 二.具有时间延迟的盲操作系统命令注入 操作系统命令注入的许多实
常见的Web漏洞——命令注入
热门推荐
江左盟的博客
09-29 1万+
目录 命令注入简介 命令注入原理 漏洞利用 漏洞防范 总结 命令注入简介 命令注入漏洞和SQL注入、XSS漏洞很相似,也是由于开发人员考虑不周造成的,在使用web应用程序执行系统命令的时候对用户输入的字符未进行过滤或过滤不严格导致的,常发生在具有执行系统命令的web应用中,如内容管理系统(CMS)等。 命令注入原理 本文以DVWA中的Command Injection为例,查看...
网络安全靶场(dvwa).7z
01-29
- **命令注入**:学习者可以尝试利用DVWA中的命令注入漏洞,执行服务器上的任意系统命令。 - **文件包含漏洞**:DVWA模拟了文件包含漏洞,让使用者理解如何通过恶意URL参数加载并执行服务器上的任意文件。 2. **...
SQL注入防范之配置安全数据库服务器.pdf
09-19
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL语句来操纵数据库,获取敏感信息或执行非法操作。为了防止SQL注入攻击,配置安全的数据库服务器至关重要。以下是一些关键的防护策略: 1. **删除...
command-injection-payload-list::direct_hit:命令注入有效负载列表
02-03
2. **macOS/Linux命令注入**:涉及Bash或其他Unix shell的命令,可能包含特殊字符如`$()`、`` ` ``、`&&`、`||`等,用于执行额外的命令或注入恶意脚本。 3. **跨平台命令**:适用于多操作系统,比如利用`curl`或`...
WEB登录防sql注入 url注入 脚本注入
12-05
WEB登录防sql注入 url注入 脚本注入
系统命令注入的介绍与代码防御
煜铭2011
10-07 1万+
0x01 介绍        该软件使用受外部影响的输入来构造操作系统命令的全部或一部分,但未能对可能修改所需操作系统命令的元素进行无害化处理。这样一来,攻击者就可以直接在操作系统上执行意外的危险命令。在攻击者没有对操作系统的直接访问权的情况下(例如在 Web 应用程序中),此弱点可能导致脆弱性。反过来说,如果该弱点发生在特权程序中,攻击者有可能能够指定通常不可访问的命令,或者通
URL跳转、命令注入、文件操作类漏洞介绍
giun的博客
03-04 2714
一、什么是URL跳转漏洞呢 借助未验证的URL跳转,将应用程序引导到不安全的第三方区域,从而导致的安全问题。 二、实现方式 1、Header头跳转 实现代码 2、javascript跳转 实现代码 3、meta跳转 三、原理分析 四、什么是命令注入 系统命令注入 五、web应用如何注入命令 PHP执行命令的注入 例如 分析攻击过程 六、常见的文件操作 七、常见的文件操作漏洞 1、...
SQL注入***的种类和防范手段
weixin_34364071的博客
04-17 66
SQL注入***的种类 知彼知己,方可取胜。首先要清楚SQL注入***有哪些种类。 1.没有正确过滤转义字符 在用户的输入没有为转义字符过滤时,就会发生这种形式的注入式***,它会被传递给一个SQL语句。这样就会导致应用程序的终端用户对数据库上的语句实施操纵。比方说,下面的这行代码就会演示这种漏洞: statement := "SELECT * FROM users ...
Linux环境下命令注入————WAF绕过技巧
Fly_鹏程万里
04-15 5513
命令注入之Web应用防火墙绕过技巧本文中讲述的绕过防火墙技巧,只适用于linux系统命令注入环境中,大家就不要纠结于这些绕过技巧不适用于mysql、window什么的。使用通配符绕过防火墙规则例如使用 /???/c?t /?t?/p??swd 来代替 cat /etc/passwd/???/c?t /?t?/p??swd 其实匹配到的是 /bash/cat /etc/passwd有时候我们想用ne...
漏洞复现篇——命令执行漏洞
爱国小白帽
02-27 2461
什么是命令执行漏洞? 日常的网络访问中,我们常常可以看到某些Web网站具有执行系统命令的功能,比如:有些网站提供ping功能,我们可以输入一个IP地址,它就会帮我们去尝试ping目标的IP地址,而我们则可以看到执行结果。 但是如果用户没有遵循网站的本意,而去输入精心构造的指令,可能会对网站本身的功能逻辑产生逆转,导致让目标网站执行恶意命令。 命令执行漏洞-分类 web代码层命令执行 ex...
防范SQL注入式***
weixin_33994444的博客
06-14 85
转载于:https://blog.51cto.com/goxia/220532
网络安全笔记-OS命令注入漏洞
L120305q的博客
08-15 890
网络安全笔记-OS命令注入
网络安全课第八节 命令与代码注入防御
fegus的博客
07-11 1059
上一讲介绍了文件上传漏洞的攻防原理,利用可能直接控制服务器,危害严重。本节课再给大家介绍一种叫命令注入的严重漏洞,由于它也能直接控制服务器,因此常令企业安全人员半夜应急。为何是半夜呢?因为搞站的人经常是晚上下班后开搞,也专业挑安全人员下班的时间,减少被发现和阻断的情况。命令注入,主要指应用在服务器或客户端上,允许拼接系统命令并执行而造成的漏洞。对于 web 网站,通常是针对服务器的攻击利用。PHP 中常见的系统命令执行函数有:system()exec()shell_ exec()proc_open()pop
Web渗透-网络安全面试 面试宝典 2023最新版65页超全解析.pdf
最新发布
10-16
网络安全面试宝典2023版是一份详尽的复习资料,涵盖了Web渗透测试中的核心知识点。这份65页的文档旨在帮助求职者准备网络安全面试,特别是针对IT行业内的Web安全岗位。以下是一些主要章节的内容概要: 1. **Web渗透...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值