DVWA练习-Command injection

周末刚去考完CEH
终於可以放下心中的大石头了
考题nmap的指令比v10版似乎少很多
IoT的攻击挺陌生的，平时没有任何接触，只能默默地死背.....QQ
这次准备也练习了不少工具
後面会再介绍几个给大家

Injection类型的攻击一直都是OWASP中热门常见的攻击手法
Command injection(命令注入)
如果没有在网站的输入表单中正确过滤敏感字元，攻击者便可以利用这些注入点，来允许在运行中的Server上执行任意操作系统命令。

这是一个要进行Ping动作的指令
框框中提示要输入我们欲进行Ping动作的IP
於框框内输入127.0.0.1後送出

原先查询的内容加上分号;後
再後方带入Linux指令pwd
送出便透过表单将此指令传送至Server中
输入127.0.0.1;pwd结果如下

输入127.0.0.1&&ls结果如下

输入cat指令可以将档案输出至画面
127.0.0.1&& cat index.php

输入127.0.0.1&& whoami;hostname结果如下

上述结果可以发现到这个漏洞
我们可以透过输入框框任意执行command
该如何预防:
输入表单的设计应严谨，可以使用正规表达式来设置白名单限制输入的内容
避免让使用者输入危险的指令