Command Injection
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Nutze Trickest, um einfach Workflows zu erstellen und zu automatisieren, die von den fortschrittlichsten Community-Tools der Welt unterstützt werden. Erhalte heute Zugang:
Was ist Command Injection?
Eine Command Injection erlaubt es einem Angreifer, beliebige Betriebssystembefehle auf dem Server, der eine Anwendung hostet, auszuführen. Infolgedessen kann die Anwendung und alle ihre Daten vollständig kompromittiert werden. Die Ausführung dieser Befehle ermöglicht es dem Angreifer typischerweise, unbefugten Zugriff oder Kontrolle über die Umgebung der Anwendung und das zugrunde liegende System zu erlangen.
Kontext
Je nachdem, wo dein Input injiziert wird, musst du möglicherweise den zitierten Kontext beenden (mit "
oder '
), bevor die Befehle ausgeführt werden.
Command Injection/Ausführung
Limitation Bypasses
Wenn Sie versuchen, willkürliche Befehle auf einer Linux-Maschine auszuführen, werden Sie sich für diese Bypasses interessieren:
Bypass Linux RestrictionsBeispiele
Parameter
Hier sind die 25 wichtigsten Parameter, die anfällig für Code-Injection und ähnliche RCE-Schwachstellen sein könnten (von link):
Zeitbasierte Datenexfiltration
Daten extrahieren: Zeichen für Zeichen
DNS basierte Datenexfiltration
Basierend auf dem Tool von https://github.com/HoLyVieR/dnsbin
, das ebenfalls unter dnsbin.zhack.ca gehostet wird.
Online-Tools zur Überprüfung auf DNS-basierte Datenexfiltration:
dnsbin.zhack.ca
pingb.in
Filterumgehung
Windows
Linux
Bypass Linux RestrictionsBrute-Force Erkennungs-Liste
Referenzen
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Nutze Trickest, um einfach Workflows zu erstellen und zu automatisieren, die von den fortschrittlichsten Community-Tools der Welt unterstützt werden. Erhalte heute Zugang:
Last updated