一、命令执行漏洞
1.介绍
命令执行(Command Execution)漏洞即可以直接在Web应用中执行系统命令,从而获取敏感信息或者拿下shell权限,服务器没有对执行的命令进行过滤。用户可以随意执行系统命令,属于高危漏洞
命令执行漏洞可能造成的原因是Web服务器对用户输入命令安全检测不足,导致恶意代码被执行
2.漏洞复现
在vulfocus靶场中启动镜像,访问给出的ip+端口,在首页index后加入 .php?cmd=ls%20/tmp
可以执行cmd后的命令
3.产生原因
a.没有对用户输入进行过滤或者过滤不严
b.调用的第三方组件存在着此漏洞
c.系统漏洞造成的命令执行(如CVE-2014-6271 bash破壳漏洞)
二、目录浏览漏洞
1.介绍
目录浏览漏洞属于目录遍历漏洞的一种,由于网站存在配置缺陷,存在目录可浏览漏洞,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以更容易得到网站权限,该漏洞可能由于开发者没有配置正确的默认首页文件,导致整个目录结构被罗列出来,暴露网站结构
2.漏洞复现
在vulfocus靶场中启动镜像,访问给出的地址
如图整个网站的结构被暴露,通过浏览能发现相关重要文件(flag)文章来源:https://www.toymoban.com/news/detail-444526.html
3.产生原因
由于开发者没有配置正确的默认首页文件,导致整个目录结构被罗列出来,暴露网站结构文章来源地址https://www.toymoban.com/news/detail-444526.html
到了这里,关于入门漏洞——命令执行漏洞、目录浏览漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!