Merhaba gençler bu gün OS COMMAND İNJ. nasıl uygulanır onu göstereceğim...
İlk öncellikle anlayacağınız gibi "Command injection" cümlesi geçiyor, bu şu demek oluyor : Komut çalıştırma, Komut enjekte etme...
Komut çalıştırarak ne yapabiliriz ? :
Port dinleme
Yetki yükseltme
Bilgi alma
Sabotaj yapma gibi bir çok şet mevcut.
şimdi çok boş yapmadan yapımına geçelim :
Örneğin böyle bir form var, burada sitelerin DNS adresini sorgulayabiliriz.
Direkt olarak komut çalıştırdığımızda böyle hata almamız normal çünkü İF,ELİF,ELSE işlemleri var.
İlk önce İF,ELİF,ELSE işlemlerini atlattık ve sonra && bağlacı ile komut çalıştırdık(whoami)
&& zorunlu değildir isterseniz imhatimi.org;whoami veya imhatimi.org || whoami gibi gibi... komutlar kullanabilirsiniz.
Konu bu kadardı iyi denemeler
SSS :
Açık yaygın mı : Evet yaygın (php ve html hakkında çok bilgi sahibi olmadan web site kodlayanla'da çok görülür. ve kaçak script kullanan formlarda'da görülür.)
Açığın tehlike değeri nedir : Orta - Yüksek (Eğer çok iyi linux bilginiz varsa YÜKSEK, eğer genel kodları biliyorsanız ORTA, eğer web sitede çok iyi bir yetki sistemi varsa DÜŞÜK)
İlk öncellikle anlayacağınız gibi "Command injection" cümlesi geçiyor, bu şu demek oluyor : Komut çalıştırma, Komut enjekte etme...
Komut çalıştırarak ne yapabiliriz ? :
Port dinleme
Yetki yükseltme
Bilgi alma
Sabotaj yapma gibi bir çok şet mevcut.
şimdi çok boş yapmadan yapımına geçelim :
Örneğin böyle bir form var, burada sitelerin DNS adresini sorgulayabiliriz.
Direkt olarak komut çalıştırdığımızda böyle hata almamız normal çünkü İF,ELİF,ELSE işlemleri var.
İlk önce İF,ELİF,ELSE işlemlerini atlattık ve sonra && bağlacı ile komut çalıştırdık(whoami)
&& zorunlu değildir isterseniz imhatimi.org;whoami veya imhatimi.org || whoami gibi gibi... komutlar kullanabilirsiniz.
Konu bu kadardı iyi denemeler
SSS :
Açık yaygın mı : Evet yaygın (php ve html hakkında çok bilgi sahibi olmadan web site kodlayanla'da çok görülür. ve kaçak script kullanan formlarda'da görülür.)
Açığın tehlike değeri nedir : Orta - Yüksek (Eğer çok iyi linux bilginiz varsa YÜKSEK, eğer genel kodları biliyorsanız ORTA, eğer web sitede çok iyi bir yetki sistemi varsa DÜŞÜK)
