Command Injection
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Šta je command injection?
Command injection omogućava izvršavanje proizvoljnih komandi operativnog sistema od strane napadača na serveru koji hostuje aplikaciju. Kao rezultat, aplikacija i svi njeni podaci mogu biti potpuno kompromitovani. Izvršavanje ovih komandi obično omogućava napadaču da dobije neovlašćen pristup ili kontrolu nad okruženjem aplikacije i osnovnim sistemom.
Kontekst
U zavisnosti od gde se vaši unosi ubacuju, možda ćete morati da prekinete citirani kontekst (koristeći "
ili '
) pre komandi.
Command Injection/Execution
Limitation Bypasses
Ako pokušavate da izvršite arbitrarne komande unutar linux mašine biće vam zanimljivo da pročitate o ovim Bypasses:
Bypass Linux RestrictionsPrimjeri
Parameters
Evo 25 najvažnijih parametara koji bi mogli biti podložni kod injekciji i sličnim RCE ranjivostima (iz link):
Time based data exfiltration
Ekstrakcija podataka: znak po znak
DNS based data exfiltration
Na osnovu alata sa https://github.com/HoLyVieR/dnsbin
koji je takođe hostovan na dnsbin.zhack.ca
Online alati za proveru DNS zasnovanog exfiltracije podataka:
dnsbin.zhack.ca
pingb.in
Zaobilaženje filtriranja
Windows
Linux
Bypass Linux RestrictionsLista za detekciju Brute-Force
Reference
Koristite Trickest za lako kreiranje i automatizaciju radnih tokova pokretanih najnaprednijim alatima zajednice na svetu. Dobijte pristup danas:
Last updated