操作系统命令注入漏洞检测及加固
1.DVWA之命令注入漏洞
注入 sql注入 命令注入 提供注入的接口 - url参数
Sql 后台程序,执行我们构造的sql语句 后台执行 返回结果
Sql是命令注入的一种,针对数据库
命令注入,通过命令接口,植入系统命令
Ping的是服务器上的自己
Low 127.0.0.1&&cat /etc/passwd
命令注入
简介:
命令注入是一种攻击,其目标是通过易受攻击的应用程序在主机操作系统上执行任意命令。当应用程序将不安全的用户提供的数据(表单、Cookie、HTTP表头等)传递给系统shell时,可能会产生命令注入漏洞。在进行攻击时,攻击者提供的操作系统命令通常以易受攻击的应用程序的权限执行。
产生原因:
web服务器没有对用户提交的参数进行有效的检测过滤
操作系统允许一条语句在使用连接符和管道符后执行多条命令
Low级别
登陆DVWA平台,选择Low级别然后进入Command Injection模块。
通过页面我们可以看出这是让你输入一个IP地址然后对其进行Ping测试,因此我们先只输入一个地址观察一下。
这里我们可以看到在下方返回了对127.0.0.1进行Ping检测的内容,因此我们可以猜测这里有一个可以执行系统命令的函数,则这里可能存在命令注入漏洞,且执行的命令为Ping 输入的内容。
然后我们进行测试,我们利用windows命令的连接符&&进行测试。这里我们输入127.0.0.1&&dir
可以看见这里不仅仅返回了127.