【教程】DVWA系列之命令注入

DVWA命令注入(Command Injection)


LOW级别

1.在编辑框输入IP或域名回车后就可以通过服务器进行PING测试


2.通过对LOW级别的核心代码进行审查 可以看到代码对参数没有任何过滤 因此我们可以通过 && 字符实现代码注入

LOW核心代码

在编辑框输入 

127.0.0.1 &&net user
查看本机本地用户


Medium级别

1.通过对Medium级别的核心代码进行审查 可以看到代码对 && 与 ; 转义成空字符(非空格)

核心代码

虽然它转义了 && ,但未对 &  进行转义 可以使用 & 进行代码注入

high级别


1.通过对high级别的核心代码进行审查 可以看到它过滤了很多连接符 但仔细观察可以看代码未对 '|' (没有带空格)进行过滤 可以用|来进行代码注入

127.0.0.1|net user


本博客所有文章如无特别注明均为原创。作者:KING复制或转载请以超链接形式注明转自 千世博客
原文地址《【教程】DVWA系列之命令注入
分享到:更多

相关推荐

发表评论

路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交

网友评论(0)