此攻击与代码注入不同,因为代码注入允许攻击者添加自己的代码,然后由应用程序执行。在代码注入中,攻击者扩展了应用程序的默认功能,而无需执行系统命令。资源:
https://www.owasp.org/index.php/Command_Injection
需求:
Xampp / Wamp服务器
bWAPP实验室
Kali Linux:Burp套件,Commix工具
您需要在XAMPP或WAMP服务器中安装bWAPP实验室,为此您可以在 此处访问使用bwapp的链接web Pentest实验室设置。
我们的任务是通过os命令注入 - 使用bWAPP进行盲目攻击来获取meterpreter shell
在Xampp或Wamp服务器中启动Apache和Mysql服务。让我们在浏览器中打开本地主机地址,因为我使用的是192.168.1.103:81/bWAPP/login.php。分别输入用户和密码bee和bug。
我的任务是通过os命令注入绕过bWAPP中的所有三个安全级别。
我们开始!!!!
设置安全级别低,从列表框中选择你的错误选择os命令注入 -现在盲目并点击黑客。
描述:渗透工具实战:使用Commix和Magic Unicorn进行Powershell注入攻击
图片:1912.png

在文本字段中键入您的IP,然后在kali Linux中启动burp套件。使用burp套件时,不要忘记在浏览器中设置代理。
要捕获bWAPP的cookie,请单击代理标记,然后单击以启用按钮,返回到bWAPP,然后单击PING按钮。
看图像,你会发现我有详细信息。
描述:渗透工具实战:使用Commix和Magic Unicorn进行Powershell注入攻击
图片:2.png

在kali Linux中打开终端并键入commix命令。
从burp suite下的截获数据中复制referrer,cookie和target,并在以下命令中使用它
commix –url=”[url]https://192.168.1.101:81/bWAPP/commandi_blind.php
本文标题:渗透工具实战:使用Commix和Magic Unicorn进行Powershell注入攻击
本文作者:zevseo
本文来自:蚁安黑客官网
转载请注明本文链接:http://www.mayidui.net/t2329.html