DVWA1.10_Command_Injection
2021/7/12 6:08:53
本文主要是介绍DVWA1.10_Command_Injection,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
- low
low等级中通过获取ip参数,然后根据系统类型执行ping命令,没有对ip参数进行过滤,存在严重的命令注入漏洞。
不管是Linux还是Windows系统都可以使用&&连接执行多个命令。
- medium
medium增加了对“&&”,“;”的符号处理,将在黑名单中的符号删除。
黑名单过滤的符号只有“&&”,“;”,所以还是存在命令注入漏洞。如输入127.0.0.1 &net user,&用于连接多个命令,所有命令都会被执行;&&是一种逻辑与的关系,只有前部执行成功才会执行后部。
或者巧妙地利用过滤机制构造“&&”,如下图使用&;&连接多个命令,过滤机制将分号过滤删除,最终命令为ping 127.0.0.1&&net user
- high
在high级别中完善了黑名单列表,过滤了大多数非法字符,但是在对管道符号“|”进行过滤时是过滤的“| ”字符串,后面多了个空格,所以管道符号“|“依然能够构成注入。
- impossible
impossible使用checkToken进行了Token检查,并使用explode将输入参数以’.'分割为数组,再对数组元素使用is_numeric进行判断,只有每个部分都为数字或数字型字符串才能通过验证。所以输入参数只能是ip格式”xxx.xxx.xxx.xxx",xxx为数字,不存在命令注入漏洞。
这篇关于DVWA1.10_Command_Injection的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-10-04el-table 开启定时器下,表格的选中状态会消失是什么原因-icode9专业技术文章分享
- 2024-10-03如何安装和初始化飞牛私有云 fnOS?-icode9专业技术文章分享
- 2024-10-03如何安装 App 并连接到飞牛 NAS?-icode9专业技术文章分享
- 2024-10-03如何安装飞牛 TV 并连接到影视服务器?-icode9专业技术文章分享
- 2024-10-03如何在PVE和ESXI上安装飞牛私有云 fnOS?-icode9专业技术文章分享
- 2024-10-03fnOS国产最强NAS安装系统异常情况处理-icode9专业技术文章分享
- 2024-10-03飞牛NAS如何创建存储空间?-icode9专业技术文章分享
- 2024-10-03fnOS国产最强NAS硬盘会自动休眠吗?-icode9专业技术文章分享
- 2024-10-03fnOS国产最强NAS如何安装飞牛影视和创建媒体库?-icode9专业技术文章分享
- 2024-10-03fnOS国产最强NAS如何为家人朋友开通影视账号?-icode9专业技术文章分享