Command Injection
Last updated
Last updated
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Erhalte die Perspektive eines Hackers auf deine Webanwendungen, Netzwerke und Cloud
Finde und melde kritische, ausnutzbare Schwachstellen mit echtem Geschäftsauswirkungen. Nutze unsere 20+ benutzerdefinierten Tools, um die Angriffsfläche zu kartieren, Sicherheitsprobleme zu finden, die dir erlauben, Privilegien zu eskalieren, und automatisierte Exploits zu verwenden, um wesentliche Beweise zu sammeln, die deine harte Arbeit in überzeugende Berichte verwandeln.
Eine Command Injection erlaubt es einem Angreifer, beliebige Betriebssystembefehle auf dem Server, der eine Anwendung hostet, auszuführen. Infolgedessen kann die Anwendung und all ihre Daten vollständig kompromittiert werden. Die Ausführung dieser Befehle ermöglicht es dem Angreifer typischerweise, unbefugten Zugriff oder Kontrolle über die Umgebung der Anwendung und das zugrunde liegende System zu erlangen.
Je nachdem, wo dein Input injiziert wird, musst du möglicherweise den zitierten Kontext beenden (mit "
oder '
), bevor die Befehle ausgeführt werden.
Wenn Sie versuchen, willkürliche Befehle auf einer Linux-Maschine auszuführen, werden Sie sich für diese Bypasses interessieren:
Bypass Linux RestrictionsHier sind die 25 wichtigsten Parameter, die anfällig für Code-Injection und ähnliche RCE-Schwachstellen sein könnten (von link):
Daten extrahieren: Zeichen für Zeichen
Basierend auf dem Tool von https://github.com/HoLyVieR/dnsbin
, das auch unter dnsbin.zhack.ca gehostet wird.
Online-Tools zur Überprüfung von DNS-basierten Datenexfiltration:
dnsbin.zhack.ca
pingb.in
Erhalte die Perspektive eines Hackers auf deine Webanwendungen, Netzwerke und Cloud
Finde und melde kritische, ausnutzbare Schwachstellen mit echtem Geschäftsauswirkungen. Nutze unsere 20+ benutzerdefinierten Tools, um die Angriffsfläche zu kartieren, Sicherheitsprobleme zu finden, die dir ermöglichen, Privilegien zu eskalieren, und automatisierte Exploits zu verwenden, um wesentliche Beweise zu sammeln, wodurch deine harte Arbeit in überzeugende Berichte umgewandelt wird.
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)