C/C++教程
Lab: Blind OS command injection with time delays:基于时间延迟的系统命令盲注
本文主要是介绍Lab: Blind OS command injection with time delays:基于时间延迟的系统命令盲注,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
靶场内容:
本实验在反馈功能中包含一个OS 命令盲注入漏洞。
应用程序执行包含用户提供的详细信息的 shell 命令。命令的输出不会在响应中返回。
解决实验室,利用OS盲注漏洞造成10秒延迟。
漏洞分析:
- 这就是一个关于时间延迟的命令注入
- 这次的注入点在email
- 随便打开一个标签页
- 然后发现上面有个submit feedback
- 点进去之后,完成信息的输入,提交
- 达到burp上截获这个数据包
- 在注入点email中添加
||ping+-c+10+127.0.0.1|| - 注意,一定要使用加号连接
- 最后等待十秒钟,靶场就 过了
- 这个漏洞是一个盲注,你提交email之后根本不会告诉你什么,mail命令的输出不会在报文中返回,无法判断是否成功注入
- 不信你改成whoami
关键截图
这篇关于Lab: Blind OS command injection with time delays:基于时间延迟的系统命令盲注的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
您可能喜欢
-
在使用平台私钥进行解密时提示 "私钥解密失败" 错误信息是什么原因?-icode9专业技术文章分享11-15
-
Layui框架有哪些方式引入?-icode9专业技术文章分享11-15
-
Layui框架中有哪些减少对全局环境的污染方法?-icode9专业技术文章分享11-15
-
laydate怎么关闭自动的日期格式校验功能?-icode9专业技术文章分享11-15
-
laydate怎么取消初始日期校验?-icode9专业技术文章分享11-15
-
SendGrid 的邮件发送时,怎么设置回复邮箱?-icode9专业技术文章分享11-15
-
使用 SendGrid API 发送邮件后获取到唯一的请求 ID?-icode9专业技术文章分享11-15
-
mailgun 发送邮件 tags标签最多有多少个?-icode9专业技术文章分享11-15
-
mailgun 发送邮件 怎么批量发送给多个人?-icode9专业技术文章分享11-15
-
如何搭建web开发环境并实现 web项目在浏览器中访问?-icode9专业技术文章分享11-15
-
rabbitmq 消息没有回应任何ack之类的,默认是丢掉吗?-icode9专业技术文章分享11-15
-
webp图片怎么添加水印吗?-icode9专业技术文章分享11-15
-
laravel 在模板页怎么存和取cookie?-icode9专业技术文章分享11-15
-
在 Laravel 中的Blade 模板模板页怎么使用cookie?-icode9专业技术文章分享11-15
-
uniapp中实现图片的缓存功能有哪些方法?-icode9专业技术文章分享11-15
栏目导航
