命令注入

Posted csm21

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了命令注入相关的知识,希望对你有一定的参考价值。

技术图片

命令注入流程:

    技术图片

 

  第一步:确认调用了ping命令

  第二步:确认可控字段  127.0.0.1

  第三部:确认命令语句:127.0.0.1 & net user

      技术图片

  手工实战:&&更容易被过滤  &也是可以的

 

  当&都被过滤的时候:就要考虑管道命令了|

  127.0.0.1| net user

 

   技术图片

  黑名单:

  who""am""i:windows下绕过黑名单

  命令注入通常有回显

 

以上是关于命令注入的主要内容,如果未能解决你的问题,请参考以下文章

命令注入和DVWA命令注入实例

Java安全-注入漏洞(SQL注入命令注入表达式注入模板注入)

命令注入(OS)

WEB漏洞---命令注入

命令注入和一个分享

DVWA:Command Injection 全等级命令注入