背景:
命令注入是指在某些需要输入数据的位置,构造了恶意的代码破坏了原先的语句结构,系统不能有效的过滤最终达到破坏数据、信息泄露甚至掌控电脑的目的。
有关知识:命令连接符
1.&
command1&command2
先执行command1,不管执是否成功,都会执行command2
2.;
command1;command2
依次顺序执行command1和command2。
3.&&
command1&&command2
并行执行command1和command2,但command1执行成功,command2才会执行。
4.||
command1||command2
command1执行成功则不执行command2,如果command1执行失败则执行command2
5.|
command1|command2
|是管道符号。管道符号改变标准输入的源或者是标准输出的目的地。
shell将command1的标准输出重定向到command2的标准输入
测试:当我们输入ip && whoami
当我在DVWA的命令注入行输入192.168.1.53 && ipconfig时
当我需要找到c盘下面的flag时,我输入192.168.1.53 && type C:\flagvalues.txt
就能获得我想要的答案了
