DVWA的使用1--Command Injection（命令注入）

DVWA的使用1–Command Injection（命令注入）

程序中因为某些功能需要执行系统命令，并通过网页传递参数到后台执行，然而最根本的原因是没有对输入框中的内容做代码过滤，正常情况下输入框只能接收指定类型的数据。命令注入漏洞可以使攻击在受攻击的服务器上执行任意的系统命令。

1).Low级别

设置DVWA Security为low
源码：

stristr函数搜索字符串在另一字符串中的第一次出现，返回字符串的剩余部分（从匹配点），如果未找到所搜索的字符串，则返回 FALSE。参数string规定被搜索的字符串，参数search规定要搜索的字符串（如果该参数是数字，则搜索匹配该数字对应的 ASCII 值的字符），可选参数before_true为布尔型，默认为”false” ，如果设置为 “true”，函数将返回 search 参数第一次出现之前的字符串部分。
这个函数会返回运行php的操作系统的相关描述，参数mode可取值”a”（此为默认，包含序列”s n r v m”里的所有模式），”s “（返回操作系统名称），”n”（返回主机名），”r”（返回版本名称），”v”（返回版本信息），”m”（返回机器类型）
可以看到，服务器通过判断操作系统执行不同ping命令，但是对ip参数并未做任何的过滤，导致了严重的命令注入漏洞。
漏洞利用：
可以用&&来执行多条命令，命令连接符&&,|,&
如果程序没有进行过滤，那么我们就可以通过连接符执行多条系统命令。

2).medium级别

源码：

相比Low级别的代码，服务器端对ip参数做了一定过滤，即把”&&” ,”;”删除，依旧存在安全问题。
漏洞利用：
因为被过滤的只有”&&”与”;”，所以”&”不会受影响。由于使用的是str_replace把”&&”,”;”替换为空字符，因此可以采用以下方式绕过： 127.0.0.1&;&ipconfig，” ;”会被替换为空字符，这样一来就变成了”127.0.0.1&& ipconfig” ,会成功执行。

3).high级别

源码：

相比Medium级别的代码，High级别的代码进一步完善了黑名单，看似过滤了所有的非法字符，但仔细观察到是把”| ”（注意这里|后有一个空格）替换为空字符，于是”| ” 就有用了。我们依然可以绕过。
漏洞利用：

4) Impossible级别

源码：

stripslashes函数会删除字符串string中的反斜杠，返回已剥离反斜杠的字符串。
explode(separator,string,limit)把字符串打散为数组，返回字符串的数组。参数separator规定在哪里分割字符串，参数string是要分割的字符串，可选参数limit规定所返回的数组元素的数目。
is_numeric(string)检测string是否为数字或数字字符串，如果是返回TRUE，否则返回FALSE。
可以看到，Impossible级别的代码加入了Anti-CSRF token，同时对参数ip进行了严格的限制，只有诸如“数字.数字.数字.数字”的输入才会被接收执行，因此不存在命令注入漏洞。

更多dvwa的使用及漏洞利用：https://blog.csdn.net/zjw0411/article/category/7542496