Command Injection(命令行注入)
命令注入中常使用的参数
我们先来看一下靶机命令行注入的界面叭
LOW级别
输入一个IP试试连通性
在这里可以看到,我输入127.0.0.1后,是可以显示测试连通性的界面,乱码是因为编码的问题,不影响实验
利用命令注入常用参数来执行命令
输入127.0.0.1&&ipconfig后,我们可以看到,成功测试连通性后又成功执行了ipconfig命令
Medium级别
同LOW级别一样,使用常用的参数进行连接指令来绕过
输入127.0.0.1&&ipconfig后,我们发现,失败了,&&被禁用
那我们尝试用&试试,发现,成功执行
我们输入00&ipconfig试试,发现,使用&符号,不管ping成功与否,都不影响命令的执行
High级别
接着试叭,我们直接来使用 || 试试看行不行,我们发现,哎嘿,成功拿下