C/C++教程
DVWA1.10_Command_Injection
本文主要是介绍DVWA1.10_Command_Injection,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
low
low等级中通过获取ip参数,然后根据系统类型执行ping命令,没有对ip参数进行过滤,存在严重的命令注入漏洞。
不管是Linux还是Windows系统都可以使用&&连接执行多个命令。
medium
medium增加了对“&&”,“;”的符号处理,将在黑名单中的符号删除。
黑名单过滤的符号只有“&&”,“;”,所以还是存在命令注入漏洞。如输入127.0.0.1 &net user,&用于连接多个命令,所有命令都会被执行;&&是一种逻辑与的关系,只有前部执行成功才会执行后部。
或者巧妙地利用过滤机制构造“&&”,如下图使用&;&连接多个命令,过滤机制将分号过滤删除,最终命令为ping 127.0.0.1&&net user
high
在high级别中完善了黑名单列表,过滤了大多数非法字符,但是在对管道符号“|”进行过滤时是过滤的“| ”字符串,后面多了个空格,所以管道符号“|“依然能够构成注入。
impossible
impossible使用checkToken进行了Token检查,并使用explode将输入参数以’.'分割为数组,再对数组元素使用is_numeric进行判断,只有每个部分都为数字或数字型字符串才能通过验证。所以输入参数只能是ip格式”xxx.xxx.xxx.xxx",xxx为数字,不存在命令注入漏洞。
这篇关于DVWA1.10_Command_Injection的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
您可能喜欢
feign默认connecttimeout和readtimeout是多少-icode9专业技术文章分享
07-05
idea控制台,日志太多,导致部分想看得日志被刷走 搜不到-icode9专业技术文章分享
07-05
The server selected protocol version Tls10 is not accepted by client preferences [TLs12]-icode9专业技术文章分享
07-05
怎么清理项目缓存-icode9专业技术文章分享
07-05
安装 Eyoucms详细图文教程-icode9专业技术文章分享
07-04
ueditor 复制文章时,图片的链接是一个下载图片地址,该如何处理?-icode9专业技术文章分享
07-04
怎样判断host有没有对wordpress有缓存呢-icode9专业技术文章分享
07-04
具有编译功能的系统make后,无法ssh连接-icode9专业技术文章分享
07-04
make后如何升级ssh-icode9专业技术文章分享
07-04
微信支付提示下单账户与支付账户不一致-icode9专业技术文章分享
07-03
微信支付提示订单号重复-icode9专业技术文章分享
07-03
微服务启动nacos注册上去了,但是一直没有收到请求-icode9专业技术文章分享
07-02
如何检查文件的编码格式-icode9专业技术文章分享
07-02
sublime 更改编码格式-icode9专业技术文章分享
07-02
uniAPP 实现全屏左右滚动滚动的效果-icode9专业技术文章分享
06-30
栏目导航
前端开发
HTML5教程
CSS教程
Javascript
jQuery教程
AJAX教程
Node.js教程
XML教程
正则表达式
后端开发
Go教程
C/C++教程
消息队列MQ
Net Core教程
Asp.net教程
Java教程
PHP教程
移动端开发
微信公众号开发
小程序开发
Swift教程
IOS教程
Kotlin教程
Android开发
数据库
Redis教程
MongoDB教程
PostgreSQL教程
Oracle教程
MariaDB教程
SqLite教程
MySql教程
SqlServer教程
服务器运维
Kubernetes
Docker容器
linux shell
Nginx教程
网站安全
PowerShell教程
Linux教程
人工智能
TensorFlow教程
Python教程
机器学习
人工智能学习
区块链
区块链技术
游戏开发
游戏编程
Unity3D教程
网站运营
网站策划
网站优化
建站知识
大数据/云计算
云计算
Hadoop教程
软件工程
软件/开发工具使用
Git教程
资讯