首页 > 电脑专区 > 电脑教程 >

Dos命令注入漏洞示例

来源:互联网 2023-02-21 19:14:57 217

我们日常常见的命令如linux Bash命令、比较熟悉的windows Dos命令,本次主要是Dos命令漏洞操作。借助DVWA漏洞系统来做演示,DVWA部署查看工具中的phpstudy及DVWA部署。aK1办公区 - 实用经验教程分享!

工具/原料

  • phpstudy https://jingyan.baidu.com/article/a3f121e4879a86fc9052bb05.html
  • DVWA https://jingyan.baidu.com/article/a3a3f81117e5f18da2eb8a09.html

方法/步骤

  • 1

    首先我们登录部署好的DVWA,默认用户名密码为admin和password。aK1办公区 - 实用经验教程分享!

    Dos命令注入漏洞示例aK1办公区 - 实用经验教程分享!

  • 2

    登录进去之后选择DVWA Security low等级。aK1办公区 - 实用经验教程分享!

    Dos命令注入漏洞示例aK1办公区 - 实用经验教程分享!

  • 3

    选择命令注入Command injection,是一个ping命令我们输入127.0.0.1测试正常输入,相当于命令为ping 127.0.0.1.aK1办公区 - 实用经验教程分享!

    Dos命令注入漏洞示例aK1办公区 - 实用经验教程分享!

  • 4

    上篇经验文档,介绍了Dos命令框的一下拼接命令,我们可以利用拼接命令输入命令达到获取信息的目的。我们使用&拼接命令,查看当前用户,即命令为:aK1办公区 - 实用经验教程分享!

    ping 127.0.0.0 && net user 我们使用&以及“|”“||”命令都可能执行成功,低等级的还是很好破解的。aK1办公区 - 实用经验教程分享!

    Dos命令注入漏洞示例aK1办公区 - 实用经验教程分享!

  • 5

    我们重新设置DVWA Security 将等级设置为Medium,进行拼接命令尝试;我们发现使用&&拼接符会提示错误参数net,测试&、|、||三种拼接命令都尝试成功。aK1办公区 - 实用经验教程分享!

    Dos命令注入漏洞示例aK1办公区 - 实用经验教程分享!

  • 6

    DVWA Security 设置为high等级,发现只有||拼接符可以成功。impossible模式下拼接命令都不行,设置了ip的输入格式来防止命令注入漏洞。aK1办公区 - 实用经验教程分享!

    Dos命令注入漏洞示例aK1办公区 - 实用经验教程分享!

  • 6本页面未经授权抓取自百度经验

    • 注意事项

    • 经验使用的DVWA系统,可查看工具中的链接搭建。

    以上方法由办公区教程网编辑摘抄自百度经验可供大家参考!aK1办公区 - 实用经验教程分享!


    标签: 操作系统命令漏洞示例

    上一篇:Win7 如何阻止程序联网 下一篇:springboot如何配置连接redis

    相关文章

    办公区 Copyright © 2016-2023 www.bgqu.net. Some Rights Reserved. 备案号:湘ICP备2020019561号统计代码