原理
即命令注入是指对一些函数的参数没有做过滤或过滤不严导致的,可以通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。
command1 && command2先执行command1后执行command2 command1 | command2只执行command2 command1 & command2先执行command2后执行command1
这个其实不太想写. 感觉很水. 实战中我是没有碰到过 可能我比较菜吧.
Low
看下代码 啥都没有
127.0.01 && dir
Medium
看下代码 限制了&& 那么我们就用一个.
127.0.01&dir
High
仔细观察的话会发现这里是将"| " (注意|后面有一个空格)替换为空,于是可以使用|
使用127.0.0.1|dir
impossible
Impossible级别的代码加入了Anti-CSRF token,同时对参数ip进行了严格的限制,只有诸如“数字.数字.数字.数字”的输入才会被接收执行,因此不存在命令注入漏洞。
所以放弃吧 骚年~
总结
反正就是水.