利用命令注入getshell

利用命令注入getshell

靶机ip：192.168.41.129
kali：192.168.41.128
任务：靶机存在命令注入漏洞，获取靶机权限。

漏洞原理

命令执行直接调用操作系统命令。其原理是，在操作系统中，“&、|、I都可以作为命令连接符使用，用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，将用户的输入作为系统命令的参数拼接到命令行中，在没有过滤用户输入的情况下，造成命令执行漏洞。

规则

command1&command2 两个命令同时执行
command1&&command2 只有前面命令执行成功，后面命令才继续执行
command1;command2 不管前面命令执行成功没有，后面的命令继续执行
command1||command2 顺序执行多条命令，当碰到执行正确的命令后将不执行后面的命令

更多漏洞原理请点击–>传送门

过程

信