请选择 进入手机版 | 继续访问电脑版

什么是命令执行漏洞?

2019-1-11 08:58
1870
    大黑客:小v呀,你这个网站还带有Ping功能啊?ailx10:别提了,系统调用的。大黑客:想想以前和俊峰一起用C写Ping,都是泪啊....ailx10:聚是燎原火,散是满天星,习惯就好了,哈哈哈哈大黑客:对了,刚刚攻破了你的网站了。ailx10:....
上面这种场景就是命令执行,我们来看看大黑客是如何攻破小v的网站?小v同学为了丰富网站的功能,开放Ping功能,是通过system()系统调用来实现的,那么熟悉shell的同学立马就想到如何掏空小v的网站了。
在线实验环境:http://144.34.129.116/ (请勿攻击,抓住看我不打死你哦)
维护服务器需要一定费用,本网站有效维护到2019年9月!赞助请打赏文章,会积好运。
小v神气的在网站中敲了大黑客早已不用的博客网站网址,
什么是命令执行漏洞?-1.jpg
立马就返回了Ping信息,原来大黑客的博客网站是github page做的,难怪没有维护费,鸡贼啊。不对,大黑客说他好久不用这个博客了,这是为啥呢?记下,我们做黑客的就是比一般人爱做笔记。
什么是命令执行漏洞?-2.jpg
那么大黑客是如何攻破小v的网站的呢?那当然是命令拼接呀,传统的命令注入,我们来看看我们是谁?再看看小v的隐私文件。
  1. [/code] 什么是命令执行漏洞?-3.jpg
  2. 后记:
  3. [list]ailx10:大黑客,你把我网站里的视频弄哪去了???大黑客: .....
  4. [/list]前端代码:
  5. [code]
复制代码
后台代码:
[code][/code]参考文献:《Web安全攻防:渗透测试实战指南》电子工业出版社
分享到 :
0 人收藏
您需要登录后才可以回帖 登录 | 邀请

本版积分规则

Archiver|手机版|小黑屋|翁笔

Powered by Discuz! X3.3 © 2001-2018 Comsenz Inc.

返回顶部