实验目的

1.了解命令注入攻击攻击带来的危险性。

2.掌握命令注入攻击攻击的原理与方法

3.掌握防范攻击的方法

实验原理

1.了解命令注入攻击攻击攻击带来的危险性。

2.掌握命令注入攻击攻击攻击的原理与方法

3.掌握防范攻击的方法

实验内容

1.了解命令注入攻击攻击攻击带来的危险性。

2.掌握命令注入攻击攻击攻击的原理与方法

3.掌握防范攻击的方法

实验环境描述

1、 学生机与实验室网络直连;

2、 VPC1与实验室网络直连;

3、学生机与VPC1物理链路连通;

实验步骤

1、打开虚拟机,输入用户名和密码,用户为admin密码为 123456

2、进入虚拟机后,首先打开xampp软件,手动开启apache与MySQL服务

3、打开浏览器,输入http://localhost:8080/example_code/

4、点击上图中的(1)命令注入攻击(Command Injection)

5、攻防实例一 可以查看在c:\xampp\htdocs\example_code\source\code1\ex1-7.php中使用的是system函数执行windows系统dir命令,来显示URL参数dir所指定的子目录的内容。 当点击演示1时

6、黑客可以使用下列的URI来进行命令注入攻击:/ex1-5.php?dir=. \&ping 127.0.0.1 直接在浏览器中输入http://localhost:8080/example_code/source/code1/ex1-5.php?dir=. \&ping 127.0.0.1

7、可以使用escapeshellarg函数来处理命令的参数,防止URI来进行命令注入攻击 点击防护5

8、攻防实例二

9、可以查看c:\xampp\htdocs\example_code\source\code1\ex1-6.php文件,使用exec函数执行windows系统命令dir,来显示URL参数dir所指定的子目录的内容。 点击演示二

10、黑客可以使用下列的URI来进行命令注入攻击:dir=.%5c%26ping%20127.0.0.1, 点击攻击5

11、攻击实例三 在c:\xampp\htdocs\example_code\source\code1\ex1-7.php中,使用的是passthru函数执行windows系统命令,读取URL参数username所指定的来访者账号,并显示来访者的登录日志的内容。 在浏览器中输入 http://localhost:8080/example_code/source/code/ex1-7.php后

12、可以使用下列的URI来进行命令注入攻击:ex1-7.php?username=tom%26ping%20127.0.0.1, 当你点击攻击7时

13、可以使用escapeshellarg函数来处理命令的参数,防止URI来进行命令注入攻击 点击防护7

14、实验完毕,关闭虚拟机和所有窗口

HTTP攻击与防范-命令注入攻击的更多相关文章

  1. PHP漏洞全解(二)-命令注入攻击

    本文主要介绍针对PHP网站常见的攻击方式中的命令攻击.Command Injection,即命令注入攻击,是指这样一种攻击手段,黑客通过把HTML代码输入一个输入机制(例如缺乏有效验证限制的表格域)来 ...

  2. PHP代码审计之命令注入攻击

    PHP漏洞-命令注入攻击 命令注入攻击 PHP中可以使用下列5个函数来执行外部的应用程序或函数 system.exec.passthru.shell_exec.``(与shell_exec功能相同) ...

  3. 防范 SQL 注入攻击

     防范 SQL 注入攻击 我们执行的 SQL语句中包含变量,执行的时候会直接把变量内容替换进去.而如果攻击者在输入框中输入一些危险的字符(通常包含 SQL 注释符 --,以及其他预先精心设置的内容), ...

  4. web攻击之三:SQL注入攻击的种类和防范手段

    观察近来的一些安全事件及其后果,安全专家们已经得到一个结论,这些威胁主要是通过SQL注入造成的.虽然前面有许多文章讨论了SQL注入,但今天所讨论的内容也许可帮助你检查自己的服务器,并采取相应防范措施. ...

  5. HTTP攻击与防护-函数注入攻击

    实验目的 1.了解eval注入的概念 2.了解eval注入攻击的方式 3.掌握防范攻击的方法 实验原理 1.了解eval注入的概念 2.了解eval注入攻击的方式 3.掌握防范攻击的方法 实验内容 1 ...

  6. HTTP攻击与防范-跨站攻击-01简介

    实验目的 1.掌握WEB渗透测试跨站攻击原理 2.了解WEB站点的跨站攻击脆弱性 3.修复存在跨站攻击可能的漏洞 实验原理 XSS又叫CSS (Cross Site script) ,跨站脚本攻击.它 ...

  7. 注入攻击-SQL注入和代码注入

    注入攻击 OWASP将注入攻击和跨站脚本攻击(XSS)列入网络应用程序十大常见安全风险.实际上,它们会一起出现,因为 XSS 攻击依赖于注入攻击的成功.虽然这是最明显的组合关系,但是注入攻击带来的不仅 ...

  8. 安全性测试入门:DVWA系列研究(二):Command Injection命令行注入攻击和防御

    本篇继续对于安全性测试话题,结合DVWA进行研习. Command Injection:命令注入攻击. 1. Command Injection命令注入 命令注入是通过在应用中执行宿主操作系统的命令, ...

  9. XSS攻击&SQL注入攻击&CSRF攻击?

    - XSS(Cross Site Script,跨站脚本攻击)是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式.跨站脚本攻击分有两种形式:反射型攻击(诱使用户点击一个嵌入恶意 ...

随机推荐

  1. linux + opencv + cuvid中使用cv::cuda::GpuMat类的一些坑

    1.我最终成功实现了opencv中利用cuvid实现GPU视频解码:核心代码是: 1 cv::cuda::GpuMat d_frame; 2 cv::Ptr<cv::cudacodec::Vid ...

  2. ARTS Week 22

    Algorithm 本周的 LeetCode 题目为 297. 二叉树的序列化与反序列化 序列化是将一个数据结构或者对象转换为连续的比特位的操作,进而可以将转换后的数据存储在一个文件或者内存中,同时也 ...

  3. IoC容器-Bean管理XML方式(注入内部bean和级联赋值)

    注入属性-内部bean和级联赋值 (1)一对多关系:部分和员工 一个部门有多个员工,一个员工属于一个部门 部门是一,员工是多 (2)在实体类之间表示一对多关系 (3)在spring配置文件中进行配置 ...

  4. Postman 支持 gRPC 了!继续领先 ~

    最近国产API管理工具比较热,几款产品在API管理层面做得也都还不错,但主要还是对HTTP相关的API管理,毕竟这类API的应用目前还是最为广泛的.但显然,还有不少其他应用场景目前没有覆盖到,DD在之 ...

  5. Redis 源码简洁剖析 03 - Dict Hash 基础

    Redis Hash 源码 Redis Hash 数据结构 Redis rehash 原理 为什么要 rehash? Redis dict 数据结构 Redis rehash 过程 什么时候触发 re ...

  6. 回顾 Flutter 2021 重要时刻,奉上虎年红包封面喜迎新年!

    2021 年,Flutter 正式进入 2.x 系列的正式版发布,年初的 Flutter 2 的发布 打开了一个新的"格局",为 Flutter 的加入了第五大特色--「可移植性」 ...

  7. Three.js 实现2022冬奥主题3D趣味页面 🐼

    背景 迎冬奥,一起向未来!2022冬奥会马上就要开始了,本文使用 Three.js + React 技术栈,实现冬日和奥运元素,制作了一个充满趣味和纪念意义的冬奥主题 3D 页面.本文涉及到的知识点主 ...

  8. Redis学习笔记(二)redis 底层数据结构

    在上一节提到的图中,我们知道,可以通过 redisObject 对象的 type 和 encoding 属性.可以决定Redis 主要的底层数据结构:SDS.QuickList.ZipList.Has ...

  9. 原生js获取子元素

    感谢原文作者:归一山人 原文链接:https://www.cnblogs.com/guiyishanren/p/12214757.html 获取子元素的方法有 //获取第一个demo类 dom = d ...

  10. PHP操作Mysql疑问?

    1.Mysql控制台乱码 set character_set_results = 'utf8';