Lab: Blind OS command injection with time delays:基于时间延迟的系统命令盲注

2021/8/20 23:10:31

本文主要是介绍Lab: Blind OS command injection with time delays:基于时间延迟的系统命令盲注,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

靶场内容:

本实验在反馈功能中包含一个OS 命令盲注入漏洞。

应用程序执行包含用户提供的详细信息的 shell 命令。命令的输出不会在响应中返回。

解决实验室,利用OS盲注漏洞造成10秒延迟。

漏洞分析:

  • 这就是一个关于时间延迟的命令注入
  • 这次的注入点在email
  • 随便打开一个标签页
  • 然后发现上面有个submit feedback
  • 点进去之后,完成信息的输入,提交
  • 达到burp上截获这个数据包
  • 在注入点email中添加||ping+-c+10+127.0.0.1||
  • 注意,一定要使用加号连接
  • 最后等待十秒钟,靶场就 过了
  • 这个漏洞是一个盲注,你提交email之后根本不会告诉你什么,mail命令的输出不会在报文中返回,无法判断是否成功注入
  • 不信你改成whoami

关键截图

在这里插入图片描述



这篇关于Lab: Blind OS command injection with time delays:基于时间延迟的系统命令盲注的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!


扫一扫关注最新编程教程