命令执行
如Web程序DVWA(渗透测试演练系统),提供了ping域名测试IP的服务。
但是攻击者可不会乖乖的只填域名,
他们会利用漏洞执行系统命令例如www.51xkx.cn&&ifconfig
攻击者通过管道连接符&&执行了多条命令(在Windows和Linux下同样适用)。
另外&、||、|等符号也可以作为连接符使用,用来绕过系统的过滤检测(还可以转换编码绕过)
框架执行漏洞
Struts2 是Java的三大框架之一(还有Hibernate、Spring),曾多次被爆命令执行漏洞
文件包含
信安之路小伙伴 mang0 的文章