dvwa之命令注入学习

发布时间:2020年04月16日 阅读:87 次

  1. 先导知识

“&&”与“&”的区别:


sdsad sadsad1.

sdsad1. 12321

```

命令1&&命令2 ```

先执行命令1,执行成功后执行命令2,否则不执行命令2

image.png

命令 1&命令2 先执行命令1,不管是否成功,都会执行命令2

image.png

命令1 | 命令2 “|”是管道符,表示将命令1的输出作为命令 2的输入,并且只打印命令 2执行的结果

image.png

把dvwa的难度设置为low image.png

点击 Command Injection 输入127.0.0.1 ,可以看到正常返回数据

image.png

现在构造语句127.0.0.1&&ipconfig

image.png

可以看到已经成功执行

Medium

image.png

先看下源码,发现他过滤了 && 和 ;

image.png

但是没有过滤 &、

构造语句 127.0.0.1&ipconfig

image.png

成功执行

High

查看源码,过滤了所有的非法字符

image.png

但是仔细查看“| ”后有个空格 “|”没有过滤

构造语句 127.0.0.1|ipconfig

image.png

命令成功执行

Tag:
相关文章

发表评论: