DVWA命令注入(Command Injection)
LOW级别
1.在编辑框输入IP或域名回车后就可以通过服务器进行PING测试
2.通过对LOW级别的核心代码进行审查 可以看到代码对参数没有任何过滤 因此我们可以通过 && 字符实现代码注入
LOW核心代码
在编辑框输入
127.0.0.1 &&net user查看本机本地用户
Medium级别
1.通过对Medium级别的核心代码进行审查 可以看到代码对 && 与 ; 转义成空字符(非空格)
核心代码
虽然它转义了 && ,但未对 & 进行转义 可以使用 & 进行代码注入
high级别
1.通过对high级别的核心代码进行审查 可以看到它过滤了很多连接符 但仔细观察可以看代码未对 '|' (没有带空格)进行过滤 可以用|来进行代码注入
127.0.0.1|net user
发表评论