本文介绍了在DVWA中进行命令注入攻击的练习过程,从低级别开始,通过输入如127.0.0.1| whoami等命令绕过ping检查,实现命令执行。还探讨了不同分隔符的使用,并提到了中级和高级难度的解决方案,强调了代码审计在解决此类问题中的重要性。
DVWA命令注入练习
打开DVWA
难度先调为低级low
提交框中要求输入IP地址
首先尝试输入127.0.0.1进行测试,如下图
在尝试输入字符串whoami(肯定找不到的,因为没有这个域名)进行测试,如下图
以上两张图可知,此输入框中前面肯定有个ping命令。所以我们需要和谐前面的ping命令来进行注入。127.0.0.1的ip地址可以让ping命令和谐掉,然后执行分隔符(分隔符有很多种表示方法,例如&&,;,||,|,?,空格等很多)后面的命令进行注入。
输入命令127.0.0.1| whoami,执行后如下图即成功
还可尝试其他命令进行注入
例如:
127.0.0.1| whoami
127.0.0.1|whoami(比上一个
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
