Command Injection
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Co to jest wstrzyknięcie polecenia?
Wstrzyknięcie polecenia pozwala atakującemu na wykonanie dowolnych poleceń systemu operacyjnego na serwerze hostującym aplikację. W rezultacie aplikacja i wszystkie jej dane mogą być całkowicie skompromitowane. Wykonanie tych poleceń zazwyczaj pozwala atakującemu uzyskać nieautoryzowany dostęp lub kontrolę nad środowiskiem aplikacji i systemem bazowym.
Kontekst
W zależności od tego, gdzie wprowadzane są dane możesz potrzebować zakończyć kontekst cytatu (używając "
lub '
) przed poleceniami.
Wstrzyknięcie/wykonanie polecenia
Ominięcia Ograniczeń
Jeśli próbujesz wykonać dowolne polecenia wewnątrz maszyny linux zainteresuje Cię przeczytanie o tych Ominięciach:
Przykłady
Parametry
Oto 25 najważniejszych parametrów, które mogą być podatne na wstrzykiwanie kodu i podobne luki RCE (z link):
Time based data exfiltration
Ekstrakcja danych: znak po znaku
DNS based data exfiltration
Na podstawie narzędzia z https://github.com/HoLyVieR/dnsbin
, również hostowanego na dnsbin.zhack.ca
Narzędzia online do sprawdzania wycieków danych opartych na DNS:
dnsbin.zhack.ca
pingb.in
Obejście filtrów
Windows
Linux
Lista wykrywania ataków brute-force
Odniesienia
Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy zasilane przez najbardziej zaawansowane narzędzia społecznościowe na świecie. Uzyskaj dostęp już dziś:
Last updated