我们日常常见的命令如linux Bash命令、比较熟悉的windows Dos命令,本次主要是Dos命令漏洞操作。借助DVWA漏洞系统来做演示,DVWA部署查看工具中的phpstudy及DVWA部署。
工具/原料
1
phpstudy https://jingyan.baidu.com/article/a3f121e4879a86fc9052bb05.html
2
DVWA https://jingyan.baidu.com/article/a3a3f81117e5f18da2eb8a09.html
方法/步骤
1
首先我们登录部署好的DVWA,默认用户名密码为admin和password。
2
登录进去之后选择DVWA Security low等级。
3
选择命令注入Command injection,是一个ping命令我们输入127.0.0.1测试正常输入,相当于命令为ping 127.0.0.1.
4
上篇经验文档,介绍了Dos命令框的一下拼接命令,我们可以利用拼接命令输入命令达到获取信息的目的。我们使用&拼接命令,查看当前用户,即命令为:ping 127.0.0.0 && net user 我们使用&以及“|”“||”命令都可能执行成功,低等级的还是很好破解的。
5
我们重新设置DVWA Security 将等级设置为Medium,进行拼接命令尝试;我们发现使用&&拼接符会提示错误参数net,测试&、|、||三种拼接命令都尝试成功。
注意事项
经验使用的DVWA系统,可查看工具中的链接搭建。
上一篇:为什么你的痘印总是顽固不化 ?
下一篇:世界大学城怎么快速加人