首先還是將dvwa的安全級別設定為low,然後單擊dvwa頁面左側的command injection按鈕。
圖5-1 low級別的命令注入
這個就是最典型的命令注入介面。在文字框中輸入乙個ip位址,然後返回ping命令的結果,單擊頁面右下角的view source按鈕,檢視頁面的原始碼,如圖5-2所示。
圖5-2 low級別命令注入原始碼
從圖中可以看出,伺服器對輸入的引數沒有做任何的檢查,直接使用shell_exec裡面執行了。使用者完全可以在ip後面構建任何命令進行注入。最簡單的構建命令方法就是在ip後面新增&&符號,這個符號可以理解為邏輯運算與,linux和windows都是通用的。例如命令ping 127.0.0.1&&cat /etc/passwd可以理解為執行命令ping 127.0.0.1,當該命令可以正常返回時再執行命令cat /etc/passwd。
在頁面的文字框中輸入127.0.0.1 && cat /etc/passwd,返回的結果如圖5-3所示。
圖5-3 low構建命令返回的結果
有興趣的歡迎一起讀這本書《11招玩轉網路安全——用python,更安全》
網路安全 提高網銀安全係數五招確保網銀安全
如今,各商業銀行都推出網上銀行服務,從而免去客戶在銀行櫃面等候的時間,確實比較方便。不過,網上銀行在展現方便 快捷性的同時,也具有一定的安全隱患。經常聽到一些使用者 很不幸 地在網上 丟了錢 的事情。那麼有沒有什麼好的招數防止 失竊 雖然目前各商業銀行都有意識地提高了網銀的安全係數,開始使用口令卡 ...
網路安全零基礎入門(第五章 4)盲注
注入攻擊本質 使用者輸入的資料當做 去執行 條件 使用者可以控制輸入 原本程式要執行的 拼接了使用者的內容,然後執行了 定義 盲注對應的是顯錯注入。但是很多時候,web伺服器關閉了錯誤回顯,這時候我們就無法實行sql注入了嗎?明顯不是這樣的。盲注在伺服器沒有回顯的時候完成了注入攻擊,由於沒有錯誤回顯...
2018(第五屆)中國網路安全技術對抗賽成功舉辦
8 月 16 日,2018 第五屆 中國網路安全技術對抗賽 以下簡稱 對抗賽 在北京國家會議中心成功舉辦。對抗賽由中共 網路安全和資訊化委員會辦公室指導,國家網際網路應急中心 cncert cc 主辦, 阿里巴巴 騰訊 360 公司聯合主辦,中國科學院資訊工程研究所提供技術支援。對抗賽啟動儀式於 8...