Command Injection
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
What is command Injection?
एक command injection हमलावर को एक एप्लिकेशन को होस्ट करने वाले सर्वर पर मनमाने ऑपरेटिंग सिस्टम कमांड्स को निष्पादित करने की अनुमति देता है। इसके परिणामस्वरूप, एप्लिकेशन और इसके सभी डेटा पूरी तरह से समझौता किए जा सकते हैं। इन कमांड्स का निष्पादन आमतौर पर हमलावर को एप्लिकेशन के वातावरण और अंतर्निहित प्रणाली पर अनधिकृत पहुंच या नियंत्रण प्राप्त करने की अनुमति देता है।
Context
जहां आपका इनपुट इंजेक्ट किया जा रहा है उसके आधार पर आपको कमांड्स से पहले उद्धृत संदर्भ को समाप्त करने की आवश्यकता हो सकती है ( "
या '
का उपयोग करके)।
Command Injection/Execution
सीमाएँ बायपास
यदि आप लिनक्स मशीन के अंदर मनमाने कमांड्स को निष्पादित करने की कोशिश कर रहे हैं, तो आप इस बायपास के बारे में पढ़ने में रुचि रखते होंगे:
Bypass Linux Restrictionsउदाहरण
Parameters
यहाँ शीर्ष 25 पैरामीटर हैं जो कोड इंजेक्शन और समान RCE कमजोरियों के लिए संवेदनशील हो सकते हैं (से link):
Time based data exfiltration
डेटा निकालना: चर द्वारा चर
DNS आधारित डेटा निकासी
https://github.com/HoLyVieR/dnsbin
से उपकरण के आधार पर, जो dnsbin.zhack.ca पर भी होस्ट किया गया है
ऑनलाइन उपकरण DNS आधारित डेटा एक्सफिल्ट्रेशन की जांच के लिए:
dnsbin.zhack.ca
pingb.in
फ़िल्टरिंग बाईपास
विंडोज
Linux
Bypass Linux RestrictionsBrute-Force Detection List
References
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
Trickest का उपयोग करें ताकि आप दुनिया के सबसे उन्नत सामुदायिक उपकरणों द्वारा संचालित वर्कफ़्लो को आसानी से बना और स्वचालित कर सकें। आज ही एक्सेस प्राप्त करें:
Last updated