Command Injection: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Zeile 7: | Zeile 7: | ||
*Eingabe im Feld für die IP / den Hostnamen | *Eingabe im Feld für die IP / den Hostnamen | ||
www.xinux.de; ls -l | www.xinux.de; ls -l | ||
+ | |||
+ | |||
+ | [[Datei:Mutillidae-4.png]] | ||
+ | *Ausgabe: | ||
+ | [[Datei:Mutillidae-5.png]] | ||
+ | |||
*Weitere Interessante Möglichkeiten: | *Weitere Interessante Möglichkeiten: | ||
**Ausgabe von Netzwerkinformationen | **Ausgabe von Netzwerkinformationen | ||
Zeile 12: | Zeile 18: | ||
**Löschen von Daten (rm - abhängig von den Rechten des benutzers, unter dem die Webanwendung läuft.) | **Löschen von Daten (rm - abhängig von den Rechten des benutzers, unter dem die Webanwendung läuft.) | ||
**... | **... | ||
− | |||
− | |||
− | |||
− |
Version vom 16. Juni 2021, 07:43 Uhr
- Schwachstelle die es einem Angreifer erlaubt, Systemkommandos auf dem Server auszuführen.
Beispiel: Ausgabe Verzeichnislisting
- Aufruf der DNS Lookup Maske
- OWASP 2017 -> A1 Injection (Other) -> Application Log Injection -> DNS Lookup
- Eingabe im Feld für die IP / den Hostnamen
www.xinux.de; ls -l
- Ausgabe:
- Weitere Interessante Möglichkeiten:
- Ausgabe von Netzwerkinformationen
- Ausgabe der Systembenutzer (/etc/passwd)
- Löschen von Daten (rm - abhängig von den Rechten des benutzers, unter dem die Webanwendung läuft.)
- ...