【渗透测试-web安全】DVWA-命令注入
1、实操
设置low等级
使用功能
咱们发现功能是直接使用输入IP地址系统反馈ping命令的结果 首先测试 127.0.0.1
使用命令拼接:127.0.0.1&&dir
很简单就实现了命令注入,固然这是简单的等级,其余级别自行尝试,有问题能够私信个人CSDN帐号哦
常见命令拼接符号:web
| 链接命令windows |
使用方法安全 |
做用curl |
| &&web安全 |
A&&B测试 |
A执行成功才会执行Burl |
| &spa |
A&B.net |
简单的拼接,AB之间没有约束关系code |
| | |
A|B |
A的输出做为B执行的输入 |
| || |
A||B |
A执行失败才会执行B |
2、怎么解决没有回显的命令注入
延时注入
windows : ping 127.0.0.1 -n 5 >nul Linux:sleep 5
远程请求
windows:ping、telnet等 Linux:wget、curl等
3、防范命令注入
设置黑名单(对于某些命令使用黑名单的形式进行限制,不太推荐) 设置白名单 对执行的命令设置白名单,其余的都被限制