DVWA笔记(二)Command Injection(命令注入)
文章目录前言命令注入原理一、注入流程二、源码分析第一等级最高等级防御问题一:乱码
前言
DVWA四个等级:
没有做过滤
做了基础过滤(中级)
设置了命令黑名单’&&‘跟’;'过滤了
做了比较强的过滤
从逻辑上改了,将ip切割为四个部分,且都为数字
命令注入原理
原理: 通过web程序在服务器上拼接系统命令
危害: 如果在web应用使用的是root权限,则该漏洞可以导致攻击者在服务器上执行任意命令
一、注入流程
1.利用管道符 命令执行漏洞
执行ping命令以后查看目录
127.0.0
原创
2021-08-23 02:59:49 ·
710 阅读 ·
0 评论