Commix – 操作系统命令注入和利用工具
在 在安全方面,我们也将命令注入称为 shell 注入和操作系统注入。命令注入每年都在 OWASP 前 10 名。命令注入是一种黑客技术,黑客在扫描后通过易受攻击的 Web 应用程序在主机操作系统中执行命令。如果 Web 应用程序通过某种连接将用户数据发送到其系统外壳,则这种攻击是可能的。该用户数据可以是任何类型,可以是 HTTP 标头或 cookie 或表单等。命令注入的历史非常有趣,因为命令注入是 1997 年中期在挪威的程序员意外发现的。命令注入漏洞引发了另一种新型的命令注入,即 SQL 命令注入。
Commix 简介
Commix 是 GitHub 上提供的免费开源工具。该工具是一个强大的工具,用于利用网站和 Web 应用程序中的命令注入漏洞。命令注入是一种通常发生在 Web 应用程序中的漏洞。在网络安全方面,命令注入也称为shell注入。 Commix 是用Python语言编写的。你必须在你的 kali Linux 操作系统上安装Python 。交互式控制台与 metasploitable 1 和 metasploitable 非常相似,这使得它易于使用。该工具可用作网站和 Web 应用程序中命令注入漏洞的测试器。
Commix 的工作原理
Commix 工具带有安装在其中的不同模块,可以让用户发现目标应用程序中的漏洞。使用数据字符串或 HTTP 标头或 cookie 对目标 URL 进行混合攻击,也对身份验证参数进行攻击。在 commix 中,用户可以找到不同的枚举选项。通过使用 commix 用户可以执行两种类型的命令注入。第一个是基于结果的命令注入技术,第二个是盲命令注入技术。
基于结果的命令注入: RBCI 或基于结果的命令注入技术是一种命令注入技术,其中攻击者在 Web 应用程序中触发的所有命令都将反射回攻击者。
盲命令注入技术: BCIT 是一种命令注入技术,攻击者没有收到来自浏览器的任何反射。
安装commix工具
第 1 步:打开您的 kali Linux 操作系统并使用以下命令安装该工具。
cd Desktop
git clone https://github.com/commixproject/commix.git commix
第二步:工具安装成功。现在使用以下命令移动到该工具的目录。
cd commix
ls
第 3 步:现在您位于该工具的目录中。使用以下命令运行该工具。
python3 commix.py
该工具正在成功运行。现在我们将看到使用该工具的示例。
用法
示例1:使用commix工具查看域是否存在命令注入漏洞。
–url = URL Here, the ‘URL’ is the target web address.
示例 2:使用 commix 工具查看域是否存在命令注入漏洞或未使用批处理标志。
python3 commix.py -u --batch 
示例 3:使用 commix 工具查看域是否存在命令注入漏洞或未使用 –all 标志。
python3 commix.py -u --all 
