DVWA-命令注入

已于 2022-11-01 16:53:59 修改
阅读量5.8k 收藏 39
点赞数 5
文章标签: 网络安全
于 2022-11-01 16:32:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51513059/article/details/127636081
版权

Command Injection 命令注入

一、什么是命令注入

 命令注入是指由于嵌入式应用程序或者 web应用程序对用户提交的数据过滤不严格,导致黑客可以通过构造特殊命令字符串的方式,将数据提交至应用程序中,并利用该方式执行外部程序或系统命令实施攻击,非法获取数据或者网络资源等。

原理:web应用在调用这些函数执行系统命令的时候,在没有做好过滤用户输入的情况下,如果用户将自己的输入作为系统命令的参数拼接到命令行中,就会造成命令注(命令执行)的漏洞。
##二、命令注入相关的特殊字符
; 前后命令依次执行 注意前后顺序,若更变目录,则必须在“一句”指令内
|| 前命令执行失败后才执行后命令 -
&& 前命令执行成功后才执行后命令 -
& 前台执行后任务,后台执行前任务 如 a&b&c 则显示c的执行信息,a b在后台执行
| 管道,只输出后者的命令 当第一条命令失败时,它仍然会执行第二条命令
(反引号,仅linux) 即命令替换,echodate,输出系统时间 使用反引号运算符的效果与函数shell_exec()相同,但在激活了安全模式或者关闭了shell_exec()时是无效的
$(command) 这是命令替换的不同符号。与反引号效果一样。echo $(date),输出系统时间. 按理说更推荐用这种方法,而不是反引号。

三、命令注入测试

实验环境:DVWA

3.1 DVWA-LOW等级下的命令注入

第一步:在command injection中输入IP地址

在这里插入图片描述

结果与在本机使用ping命令完全一致,说明这里可以让我们执行ping命令。

第二步:源码分析

对输入的ip地址进行ping操作,源码只让我们进行ping操作,没有其他动作,但它给了我们一个利用系统命令的平台。
在这里插入图片描述

第三步:输入一个命令拼接符号再加上需要执行的命令

这里我想查询一下用户名
在这里插入图片描述

命令注入成功,可以看到用户名为adminstrator

3.2 DVWA-medium等级下的命令注入

第一步:在command injection中输入IP地址

与low等级一致

第二步:分析源码看看和Low等级有什么区别

源码分析:发现在Low等级源码的基础上添加了一个黑名单,把‘&&’字符和‘;’字符过滤掉了,但我们可以使用黑名单之外的命令连接符命令注入
在这里插入图片描述

第三步:使用源码中黑名单之外的连接符进行注入

这里使用&进行注入
在这里插入图片描述

注入成功;

3.3 DVWA-high等级下的命令注入

第一步:在command injection中输入IP地址

同上

第二步:源码分析

发现还是一样的套路,只是过滤字符过滤得更多了。但仔细观察发现有一个过滤是’| ‘,这个过滤是加了空格的,说明这个过滤其实是没用的,只需要’|’后面直接加入参数,不保留空格,我们依然可以用这个命令连接符进行命令注入
在这里插入图片描述

第三步:使用连接符进行注入

命令:127.0.0.1 |ipconfig
在这里插入图片描述

注入成功

3.4 DVWA-impossible等级下的命令注入

第一步:在command injection中输入IP地址

同上

第二步:源码分析

这里防止命令注入的思路是白名单,也就是说对输入进行过滤,只允许输入ip地址。
将输入根据点分成4段,每一段都判断一下是不是数字,总共是不是4段,如果是的话,再用点把4段数字拼接起来,因此不存在命令注入。
在这里插入图片描述

安全防护:
1.token机制:同之前的暴力破解一样,使用了token机制(基于token的身份验证),由于token值,每次交互都是随机的,客户端和服务端都为随机值。
2.stripslashes()函数:过滤字符串中的反斜杠
3.explode()函数:将所有的字符串打散成为数组
4.is_numeric() 函数:用于检测变量是否为数字或数字字符串

第三步:使用命令连接符进行注入

这里我使用的是||
命令:127.0.0.1||ipconfig
在这里插入图片描述

提示错误:输入了无效ip;注入失败

四、命令注入的防御

到目前为止,防止操作系统命令注入漏洞最有效的方法是永远不要从应用层代码调用操作系统命令。
如果认为使用用户提供的输入调用操作系统命令是不可避免的,则必须执行强输入验证。一些有效验证的例子包括:

  • 对允许值的白名单进行验证。
  • 验证输入是否为数字。
  • 验证输入是否只包含字母数字字符,不包含其他语法或空白。
橘子~
关注
dvwa命令注入impossible代码审计
x15wda33的博客
06-09 520
有兴趣,请查阅网络安全相关书籍简单的说是攻击者在受害人不知情情况下伪造了受害人网站的cookie,并利用该cookie对服务器进行访问从而窃取受害人的相关信息1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;4、网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A。
DVWA通关攻略之命令注入
勿山几已
05-06 2568
简要介绍命令注入漏洞,演示手工和burp爆破挖掘命令注入漏洞/RCE
dvwa命令注入
qq_44159634的博客
12-12 2460
dvwa命令注入命令行执行时过滤不完全时会导致命令注入 常用连接符 &&与&:前后命令都执行 |:执行后面的命令,前面命令不执行 low: 输入一个ip,可以看出是ping一下ip payload:127.0.0.1 | ls -an medium 过滤了&&,&和|都没有过滤 high 看别人的wp后,发现"| "有个空格。。。所以直接把空格去了就行了 命令注入绕过方式 https://blog.csdn.net/weixin_395
DVWA-命令注入漏洞代码审计(High、Impossible)
oyqsb的博客
06-09 438
这样就理解了这个函数在本题的作用,用于对输入的字符串进行替换,当匹配到和键名相同的字符串时,会将其替换成空,进而实现了对字符串的过滤。当创建了一个数组后使用这个函数,可以看到打印出的是这个数组的键名,也就是说在这里arrat_keys函数用于将数组里的键名提出来。但是本题的黑名单内的 '| ' 是有空格的,只要用 '|' 构造命令时不要留空格即可实现绕过黑名单。
DVWA靶场通关指南之爆破命令注入(Command Injection)篇
最新发布
2301_80845279的博客
04-21 2308
本篇文章是DVWA靶场通关指南之爆破命令注入笔记。命令注入(Command Injection)是一种通过向应用程序注入恶意命令来执行非授权系统指令的攻击技术。攻击者利用输入参数或数据传输中的漏洞,将系统命令拼接到正常操作中,导致服务器执行恶意指令。
DVWA 命令注入
qq_41326328的博客
03-12 1250
DVWA 命令注入 实验 首先我们探讨一下 什么叫命令注入,指的是利用没有验证过的恶意命令或代码,对网站或者服务器进行渗透攻击。 注入有很多种,并不仅仅是SQL注入。比如: 命令注入(Command injection) Eval注入(Eval injection) 客户端脚本攻击(Script insertion) 跨网站脚本攻击(Cross Site Scripting,XSS) SQL注入...
DVWA 靶场 impossible 级别命令注入代码审计
QYbkx974的博客
11-21 329
之前审计了 high 级别的命令注入,这次来尝试 impossible 级别的代码审计,自己的理解,有错误多多担待。
2、DVWA——命令注入
qq_55202378的博客
08-29 955
DVWA 命令·注入
DVWA命令注入(Command Injection)
qq_54537919的博客
06-25 889
DVWA命令注入(Command Injection) 原理 low、 medium、 high
DVWA 之 Command Injection(命令注入
RexHa的博客
09-29 1286
DVWA命令注入三个等级通关
DVWA-master安装包
02-28
1. **注入漏洞**:包括SQL注入命令注入等,通过在用户输入的数据中插入恶意代码,攻击者可以获取数据库信息甚至控制服务器。 2. **跨站脚本(XSS)**:分为反射型和存储型两种,XSS允许攻击者通过注入可执行的...
DVWA-master.7z 压缩包
09-14
- SQL注入:通过构造特定的输入,攻击者可以执行恶意的SQL命令- 跨站脚本(XSS):攻击者通过在网页中插入恶意脚本,使用户浏览器执行。 - 跨站请求伪造(CSRF):攻击者利用用户的已登录状态,诱使用户进行非...
DVWA-master.zip
01-04
DVWA中,命令注入漏洞允许攻击者执行服务器上的任意系统命令。学习者可以从中学习如何过滤和验证用户输入,防止这类攻击。 5. **文件包含漏洞** 文件包含漏洞通常发生在应用程序允许用户指定要包含的文件路径时...
DVWA-命令注入漏洞获取目标shell并提到最高权限[msfvenom]
King_Ho的博客
12-21 3440
MSF攻击Windows实验: 方法一 :通过web站点,使用无文件的方式攻击利用执行 方法二:通过web站点,上传webshell, 返回给msf 方法三:攻击其他端口服务,拿到meterpreter 信息收集-Nmap端口扫描 信息收集总在前 root@kali:~# nmap -sV -T4 xxx.xxx.xxx.xxx Starting Nmap 7.80 ( https://nmap.org ) at 2020-09-29 10:46 CST Not shown: 992 filtered p
DVWA 命令注入从 Low 到 Impossible 教程及源码分析
ericalezl的博客
03-16 467
在 Impossible 级别,DVWA 通过严格的输入验证和白名单机制彻底修复了命令注入漏洞。使用更严格的输入验证,例如只允许 IP 地址格式的输入。使用白名单机制,只允许特定的字符或命令。函数对用户输入进行转义。没有对用户输入做任何限制。**源码分析:**他给。
dvwa---命令注入
qq_74806534的博客
01-09 1198
ping (Packet Internet Groper),因特网包探索器,用于测试网络连接量的程序。Ping发送一个ICMP;回声请求消息给目的地并报告是否收到所希望的ICMP echo (ICMP回声应答)。我个人认为:它是用来检查网络是否通畅或者网络连接速度的命令,ping命令可以对一个网络地址发送测试数据包,看该网络地址是否有响应并统计响应时间,以此测试网络。
DVWA-命令注入(Command Injection)
weixin_58954236的博客
08-19 714
ipconfig,net user(查看系统用户),dir(查看当前目录),find(查找包含指定字符的行),whoami(查看系统当前有效用户名)A&B(简单的拼接,AB之间无制约关系),A&&B(A执行成功才会执行B),A|B(A的输出作为B的输入),A||B(A执行失败,然后才会执行B)
DVWA命令注入(Command Injection)
chtdgf的博客
01-31 1789
DVWA命令注入(Command Injection) 1.解决乱码问题 在文本框中输入”ip address”后结果显示为乱码,如下图所示。 解决此问题的方法:在DVWA-master\dvwa\includes目录下找到dvwaPage.inc.php文件中所有的”charset=utf-8”,修改”charset=gb2312” 2.基础知识 &&这个就是我们经常说的and,cmd1&&cmd2意思为当cmd1执行成功以后才执行cmd2,否则不执行cmd2 &a
dvwa命令注入
03-18
<think>好的,我现在需要处理用户关于DVWA命令注入漏洞的查询,包括示例和防御方法。首先,我需要回顾一下命令注入的基本概念以及DVWA中的相关设置。根据用户提供的引用内容,DVWA在低安全级别下没有防护措施,攻击者可以执行任意系统命令,这可能导致严重的安全问题。 接下来,我应该整理漏洞的示例。用户提供的引用中提到了一些具体的例子,比如查看系统文件、显示当前路径和写入文件。需要将这些例子用清晰的中文描述出来,并确保代码部分符合LaTeX格式要求。同时,注意用户提到的系统级指令,比如行内数学表达式用$...$,独立公式用$$...$$,但这里可能更多涉及代码块,所以需要正确使用代码块格式。 然后是关于防御方法的部分。引用3中提到禁用危险函数、输入过滤、参数转义和使用替代方法。需要将这些点分条列出,并确保每个防御方法都有对应的解释,可能还需要引用对应的引用来源。 用户还要求生成相关问题,我需要思考与DVWA命令注入相关的其他问题,比如如何检测漏洞、不同安全级别的区别、实际案例等。这些问题应该能够帮助用户进一步深入学习。 需要注意引用的正确使用,在回答中提到的每个示例或防御方法后,自然地添加引用标识,例如[^1]、[^2]或[^3]。同时,检查LaTeX语法是否正确,虽然这里可能更多是代码块而非数学公式,但如果有数学表达式的话要正确应用格式。 最后,确保回答结构清晰,符合用户要求的可见层结构,分步骤解释漏洞示例和防御方法,保持语言口语化,避免使用专业术语过多,必要时进行解释。同时,验证引用的信息是否准确,确保示例和防御方法与提供的引用内容一致,避免错误信息。</think>### DVWA命令注入漏洞解析 #### 一、漏洞示例(DVWA Low安全级别) 1. **执行系统命令** 攻击者可注入`&&`或`|`拼接恶意命令: ```bash # 查看系统hosts文件 && type c:\windows\system32\drivers\etc\hosts # 显示当前路径 | cd # 写入Webshell && echo "<?php phpinfo();?>" > D:\xampp\htdocs\shell.php ``` 2. **命令链利用** Windows/Linux通用语法: ```bash # Linux查看用户列表 ; cat /etc/passwd # Windows创建文件 & echo test > C:\hack.txt [^2] ``` #### 二、防御方法 1. **禁用危险函数** 在`php.ini`中禁用高危函数: ```ini disable_functions = system, exec, shell_exec, passthru ``` 2. **输入过滤机制** 使用正则表达式过滤特殊字符: ```php $input = preg_replace('/[;&|]/', '', $_GET['cmd']); [^3] ``` 3. **参数转义处理** 对参数进行引号包裹和转义: ```php $cmd = escapeshellarg($_GET['cmd']); system("ping -n 3 " . $cmd); ``` 4. **使用安全替代方案** 改用非命令执行方式实现功能,例如PHP内置的`file_get_contents()`代替`cat`命令。 #### 三、渗透测试验证流程 1. 写入文件后访问`http://靶机地址/shell.php`验证Webshell 2. 检查系统进程列表确认命令执行效果: ```bash && tasklist /V ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值