DVWA-Command Injection模块实验

最新推荐文章于 2024-08-17 23:57:04 发布
最新推荐文章于 2024-08-17 23:57:04 发布
阅读量1.4k 收藏 18
点赞数 25
分类专栏: WEB 网络 网络安全 文章标签: 安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52363821/article/details/138306313
版权

一、实验内容:

  1. 命令注入的3个条件;
  2. Low等级、Medium等级以及High等级;
  3. Impossible等级的机制以及修复、防御命令注入的方法。
  4. 描述上面之外你所知道的其他技巧(3种以上)。

二、实验过程与结果:

1、命令注入的3个条件;

命令注入的三个基本条件如下:

调用可执行系统命令的函数:这意味着应用程序中存在可以调用系统命令的函数或接口。

函数或函数的参数可控:攻击者需要能够控制这些函数或它们的参数,以便能够注入恶意命令。

可控参数能有效拼接注入命令:攻击者需要将恶意命令有效地拼接到原始命令中,使得系统执行恶意命令而不是预期的命令。

2、Low等级

192.168.196.1

相当于执行ping 192.168.196.1

可以看到输入 echo hello也不能正常执行

接着我们看一下源码:

利用管道命令符:|

管道符“|”可以将两个命令分隔开,“|”左边命令的输出就会作为“|”右边命令的输入,此命令可连续使用,第一个命令的输出会作为第二个命令的输入,第二个命令的输出又会作为第三个命令的输入,依此类推。

192.168.196.1 | echo hello

实现:

192.168.196.1 && ipconfig

发现是乱码:进入到D:\Teachings\phpstudy_pro\WWW\DVWA\dvwa\includes这是我自己的目录下找到dvwaPage.inc.php这个文件

将字符集编码utf-8改为GB2312

问题完美解决:

3、Medium等级;

可以看到&&被过滤掉了

输入:192.168.196.1 & ipconfig

4、High等级

可以看源码:

| 明显后面有个空格,所以如果不使用空格的话依然可以绕过:

|后面有个空格,去掉|后面的空格就行了

实现:

输入:192.168.196.1 |ipconfig

5、Impossible等级的机制以及修复、防御命令注入的方法。 

查看源码:

这里加入了Anti-CSRF token,同时对参数ip进行了严格的限制,只有诸如“数字.数字.数字.数字”的输入才会被接收执行,因此不存在命令注入漏洞。这个确实已经结合业务场景来进行约束了。

修复和防御命令注入的方法包括:

  1. 使用安全的API:尽可能使用已经实现的库函数,这些库函数设计用来防止注入攻击。
  2. 参数化查询:对于数据库查询,使用参数化查询而不是动态构造SQL语句。
  3. 限制权限:运行应用程序的账户应该具有尽可能少的权限,以减少注入攻击的影响。
  4. 错误处理:避免在错误消息中泄露敏感信息,如数据库结构或系统信息。
  5. 输入验证:对所有用户输入进行严格的验证,包括前端和后端验证。
  6. 输出编码:在输出数据到浏览器或其他客户端之前,进行适当的编码处理。

6、描述上面之外你所知道的其他技巧(3种以上)。

  1. 使用时间盲注:如果注入攻击不能直接返回结果,可以通过比较查询时间来推断信息。
  2. 利用日志注入:有时候,注入的命令会在日志文件中留下痕迹,可以被用来泄露信息。
  3. 利用文件包含漏洞:如果命令注入可以控制文件路径,可能通过包含服务器上的文件来泄露信息。
  4. 使用布尔盲注:通过观察应用程序对真/假查询的响应时间差异,来推断数据库中的内容。
  5. 堆叠查询:在某些情况下,可以在一个查询的末尾添加额外的命令或查询。
DVWA 实验报告:2、命令注入
看那白熊
04-11 3229
本节主要讲解 DVWA_v1.9 中的命令注入部分。 覆盖全部四种安全级别,从源码分析的角度上进行攻击测试。 适合新手小白。
DVWA-Command Injection通关教程-完结
刘箫-技术库
03-26 1135
这里加入了Anti-CSRF token,同时对参数ip进行了严格的限制,只有诸如“数字.数字.数字.数字”的输入才会被接收执行。看上去,似乎敏感的字符都被过滤了,但是 | 明显后面有个空格,所以如果不使用空格的话依然可以绕过。A|B //A执行的输出结果作为B命令的参数,A不论正确与否,都会执行B。A||B //A执行失败后才会执行B命令。B //A不论正确与否都会执行B。A&B //A后台运行,A和B同时执行。A&&B //A执行成功后才会执行B。
【OS命令注入02】OS命令注入漏洞靶场实验(基于DVWA靶场四个级别的 command injection
Fighting_hawk的博客
02-27 3566
1. 了解windows和Linux系统管道符运行特点; 2. 了解OS命令注入的绕过思路。
DVWA靶场通关----(2) Command Injection教程
z09364517158的博客
04-02 625
看到代码,发现黑名单中的限制更多了,像 '&','| ','||',';','$' 等许多都加了限制,但是要仔细观察 ,比如说这个 '| ' ,它是在管道符后面加了个空格,因此考虑使用 127.0.0.1 |ipconfig 来绕过。从源码中可以看出,相比于Low难度,增加了黑名单,将 "&&",";像这种是白名单限制,相比于黑名单来说,还是比较安全的,对于这个难度的代码,兄弟们学习一下怎么写的吧。通过代码可以发现,服务器仅仅只是判断了不同的操作系统执行不同的命令,并没有做其他的限制。
DVWA 之命令注入(Command Injection
chtdgf的博客
01-31 1785
DVWA 之命令注入(Command Injection) 1.解决乱码问题 在文本框中输入”ip address”后结果显示为乱码,如下图所示。 解决此问题的方法:在DVWA-master\dvwa\includes目录下找到dvwaPage.inc.php文件中所有的”charset=utf-8”,修改”charset=gb2312” 2.基础知识 &&这个就是我们经常说的and,cmd1&&cmd2意思为当cmd1执行成功以后才执行cmd2,否则不执行cmd2 &a
合天实验室命令注入
我只会装360的博客
11-20 322
命令注入攻击(Command Injection),是指黑客通过利用HTML代码输入机制缺陷(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容。从而可以使用系统命令操作,实现使用远程数据来构造要执行的命令的操作。 PHP中可以使用下列四个函数来执行外部的应用程序或函数:system、exec、passthru、shell_exec,四个函数的原型如下: string system(s...
网络安全 - Web 安全靶场 - DVWA-2.3.zip
10-09
DVWA包含了如Brute Force(暴力破解)、Command Injection(命令注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)等多种安全漏洞模块。这些模块不仅提供了实践的机会,还附带了详细的漏洞描述和成因分析,...
DVWA-命令注入(Command Injection模块 包含代码审计
weixin_45715461的博客
06-01 676
DVWA-命令注入(Command Injection模块 包含代码审计
DVWA-master.zip
08-22
DVWA中,"SQL Injection"模块将让你体验如何利用这类漏洞。 2. **XSS(Cross Site Scripting)跨站脚本**:XSS攻击是通过在网页中插入恶意脚本,使用户在不知情的情况下执行这些脚本,从而盗取用户的敏感信息。...
DVWA关卡2:Command Injection(命令注入漏洞)
m0_54899775的博客
12-06 1188
DVWA关卡2:Command Injection(命令注入漏洞)
Kali利用XAMPP搭建DVWA及使用command injection
07-25
DVWA安装
【burpsuite安全练兵场-服务端4】操作系统命令注入-5个实验(全)
12-31 7629
【BP靶场portswigger-服务端4-操作系统命令注入】5个实验-千文详细步骤
DVWA-命令注入
weixin_51513059的博客
11-01 5773
DVWA-命令注入通关 命令注入相関概念及命令注入的防御
DVWA | Command Injection(命令注入)通关笔记
qq_44846097的博客
08-17 951
命令注入漏洞(Command Injection Vulnerability)是一种安全漏洞,攻击者可以通过将恶意命令注入到应用程序中,执行未授权的系统命令。
[DVWA靶场实战]-SQL注入攻击(命令注入+SQL回显注入+sqlmap工具实现自动化注入)详细教程
weixin_60838266的博客
07-24 2613
利用Kali Linux和burpsuite对DVWA靶场的Command Injection模块和SQL Injection模块进行sql注入攻击详细教程,包括使用工具sqlmap进行自动化注入攻击。
命令注入实操与总结
qq_51582652的博客
03-24 3058
这个内容是为了了解命令注入攻击的过程,掌握思路。记一次DVWA靶场的通关,commix-testbed靶场的实验
DVWACommand Execution】命令注入模块
初学者L_言的博客
11-18 481
一、工具 靶机 Metasploitable2 WebApplication——DVWA 菜刀——蚁剑 二、原理及条件 原理: 是指在某些需要输入数据的位置,还构造了恶意的代码破坏了原先的语句结构。而系统缺少有效的过滤,最终达到破坏数据、信息泄露甚至掌控电脑的目的。(通过web程序,在服务器上拼接系统命令) 注入条件: web应用程序调用可执行系统命令的函数 执行系统命令的函数或函数的参数可控 ...
DVWA —— Command Injection 命令注入
YouTheFreedom的博客
05-21 527
命令执行漏洞是指代码未对用户可控参数做过滤,导致直接带入执行命令的代码中,对恶意构造的语句,可被用来执行任意命令。黑客可在服务器上执行任意命令,写入后门,从而入侵服务器,获取服务器的管理员权限,危害巨大。
Dvwa渗透测试之命令注入笔记
JBlock的博客
10-29 5081
今天我们我们讨论下命令注入,在之前我已经就命令注入的理论注入的理论知识做了介绍,所以只是在简单说一下,不再缀述。 命令执行执行漏洞是指攻击者可以随意执行系统命令,它属于高危漏洞之一,也属于代码执行的一部分。 漏洞产生原因:1.过多调用系统命令,或者说是在调用系统命令时不慎重。2.在调用系统命令时过滤不严格。3.在web开发中使用了一些不可控的函数或使用类不恰当,如eval()(动态执行php代码的函
文件包含漏洞 Vulnerability: Command Injection pingIP后显示乱码
最新发布
03-20
### 文件包含漏洞与命令注入问题分析 文件包含漏洞通常允许攻击者通过恶意构造的参数来访问或执行服务器上的任意文件。而命令注入则是指攻击者能够通过输入特定字符串破坏原有命令结构并执行其他系统指令。 在DVWA(Damn Vulnerable Web Application)环境中,当尝试利用`Command Injection`功能模块时,如果向其传递一个IP地址并通过提交按钮触发命令执行,则可能会观察到返回的结果中存在中文字符乱码的现象[^1]。这种现象通常是由于编码设置不一致引起的。 #### 编码问题的根本原因 在PHP环境下运行某些外部程序(如`ping`),这些程序可能输出非UTF-8编码的内容(例如GBK)。然而,默认情况下Web应用界面期望接收的是UTF-8编码数据流。因此,在处理来自不同源的数据时如果没有正确转换编码格式就会引发显示异常——即所谓的“乱码”。 为了修复这一问题可以采取以下措施: 1. **修改响应头中的Content-Type字段** 确保HTTP头部包含了正确的charset声明。可以通过调整如下代码实现: ```php header('Content-Type: text/html; charset=utf-8'); ``` 2. **使用iconv函数进行编码转换** 如果已知原始数据采用的具体编码方式(比如GBK),那么可以在将其呈现给用户之前先做一次转码操作。下面是一个简单的例子展示如何运用iconv库完成这项工作: ```php $output = shell_exec($cmd); echo iconv('gbk', 'utf-8//IGNORE', $output); // 将GB2312/GBK编码转化为UTF-8编码 ``` 上述方法均有助于改善因编码差异而导致的信息失真状况。另外值得注意的是,在实际开发过程中应当尽可能减少对外部不可控资源调用次数,并严格验证所有传入系统的变量值合法性以防止潜在安全风险的发生[^3]。 对于更深层次的安全加固建议参阅有关资料进一步学习了解最佳实践指南[^2]。 ```php function safeExec($command){ $whitelist = ['localhost','127.0.0.1']; // 定义白名单列表 preg_match('/\b(?:\d{1,3}\.){3}\d{1,3}\b/', $command, $matches); if(in_array($matches[0], $whitelist)){ return exec($command); }else{ throw new Exception("Invalid IP Address"); } } ``` 以上示例展示了如何创建一个基本防护机制用于过滤非法请求,仅允许指定范围内的主机名或者IPv4地址作为合法目标参与后续流程之中。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值