Command Injection
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Що таке командна ін'єкція?
Командна ін'єкція дозволяє зловмиснику виконувати довільні команди операційної системи на сервері, що хостить додаток. В результаті, додаток і всі його дані можуть бути повністю скомпрометовані. Виконання цих команд зазвичай дозволяє зловмиснику отримати несанкціонований доступ або контроль над середовищем додатка та основною системою.
Контекст
В залежності від того, куди вводиться ваш ввід, вам може знадобитися закінчити цитований контекст (використовуючи "
або '
) перед командами.
Командна ін'єкція/Виконання
Обхід обмежень
Якщо ви намагаєтеся виконати произвольні команди всередині linux машини, вам буде цікаво прочитати про ці Обходи:
Bypass Linux RestrictionsПриклади
Параметри
Ось 25 найпоширеніших параметрів, які можуть бути вразливими до ін'єкцій коду та подібних вразливостей RCE (з посилання):
Часова ексфільтрація даних
Витягування даних: по символу
DNS на основі ексфільтрації даних
На основі інструменту з https://github.com/HoLyVieR/dnsbin
, також розміщеного на dnsbin.zhack.ca
Онлайн-інструменти для перевірки витоку даних на основі DNS:
dnsbin.zhack.ca
pingb.in
Обхід фільтрації
Windows
Linux
Bypass Linux RestrictionsСписок виявлення грубої сили
Посилання
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Використовуйте Trickest для легкого створення та автоматизації робочих процесів, підтримуваних найсучаснішими інструментами спільноти. Отримайте доступ сьогодні:
Last updated