摘要:
OS Command Injection - Blind 先上代码,他判断了win还是linux然后进行了ping但是结果并没有返回。 看反应时间,没有任何ping,只是返回一个信息,服务器的执行速度最快 当服务器正常ping一次后,反应是17 当有命令注入时,多执行了一个命令,所以反应的时间会长, 阅读全文
posted @ 2017-07-14 11:14
红刃
阅读(1874)
评论(0)
推荐(0)
摘要:
OS Command Injection 界面: 给一个域名,它帮你返回DNS 代码: shell_exec — 通过 shell 环境执行命令,并且将完整的输出以字符串的方式返回。 防御部分 1.low low级别没有过滤 加一个;就能实现恶意 2.medium 过滤了&和;将他们替换为空 用 | 阅读全文
posted @ 2017-07-14 10:54
红刃
阅读(1199)
评论(0)
推荐(0)
浙公网安备 33010602011771号