C/C++教程
Lab: Blind OS command injection with time delays:基于时间延迟的系统命令盲注
本文主要是介绍Lab: Blind OS command injection with time delays:基于时间延迟的系统命令盲注,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
靶场内容:
本实验在反馈功能中包含一个OS 命令盲注入漏洞。
应用程序执行包含用户提供的详细信息的 shell 命令。命令的输出不会在响应中返回。
解决实验室,利用OS盲注漏洞造成10秒延迟。
漏洞分析:
- 这就是一个关于时间延迟的命令注入
- 这次的注入点在email
- 随便打开一个标签页
- 然后发现上面有个submit feedback
- 点进去之后,完成信息的输入,提交
- 达到burp上截获这个数据包
- 在注入点email中添加
||ping+-c+10+127.0.0.1|| - 注意,一定要使用加号连接
- 最后等待十秒钟,靶场就 过了
- 这个漏洞是一个盲注,你提交email之后根本不会告诉你什么,mail命令的输出不会在报文中返回,无法判断是否成功注入
- 不信你改成whoami
关键截图
这篇关于Lab: Blind OS command injection with time delays:基于时间延迟的系统命令盲注的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
您可能喜欢
-
使用宿主机的 IP 地址,容器销毁重建时 ip 地址会发生变化,如何解决-icode9专业技术文章分享09-03
-
为什么原始excel内容为NA的表格输出之后内容为空-icode9专业技术文章分享09-03
-
云原生周刊:LitmusChaos 审计完成|2024.9.209-02
-
CRM系统的性能要求有什么-icode9专业技术文章分享08-31
-
systemd-logind禁止挂起操作的详细步骤-icode9专业技术文章分享08-31
-
coredns pod在calico安装之后才会runing吗-icode9专业技术文章分享08-31
-
tp6 orm insertALL 有主键重复的忽略怎么实现-icode9专业技术文章分享08-31
-
org.greenrobot.eventbus.EventBus 为什么EventBus.getDefault().register(this) 后收不到-icode9专业技术文章分享08-31
-
unity animation动画上的event 如果这个animaton动画是循环的 如何确保这个event只有进入这个状态机的时候触发一次 后面的loop不在触发-icode9专业技术文章分享08-31
-
CRM系统的开发背景是什么-icode9专业技术文章分享08-31
-
CRM系统的设计风格和原则有哪些要求-icode9专业技术文章分享08-31
-
【2024最新】教你订阅Claude Pro会员 体验最新模型08-30
-
什么是知识图谱-icode9专业技术文章分享08-30
-
如何写编程芯片步骤方法是什么-icode9专业技术文章分享08-30
-
单片机和嵌入式是一个意思吗-icode9专业技术文章分享08-30
栏目导航
