Commix 一体化操作系统命令注入和利用工具
2024-1-22 12:10:8 Author: Ots安全(查看原文) 阅读量:116 收藏

Commix v3.9发布了,这是一款自动化一体化操作系统命令注入和利用工具。Commix([comm]和[i]njection e[x]ploiter的缩写)是由Anastasios Stasinopoulos(@ancst)开发的,旨在为Web开发人员、渗透测试人员以及安全研究人员提供一种测试基于Web的应用程序的工具,以发现与命令注入相关的漏洞、错误或安全漏洞。

变更日志v3.9包括以下内容:

  • 修复了多个关于未处理异常的错误,这些错误是基于多个报告的反馈。

  • 对将用户提供的命令(--os-cmd选项)记录到文件的小改进。

  • 改进了通过Tor HTTP代理(--tor开关)解析HTTP请求的方法。

  • 新增了一个新的(隐藏的)选项--ignore-stdin,用于忽略STDIN输入。(via @n00b-bot)

  • 对成功完成扫描过程的小改进,包括省略带有反CSRF令牌的参数的情况。(via @xerxoria)

  • 对基于Windows的半盲技术(即“基于文件”)的有效负载进行了微小的改进,即命令执行输出。

  • 在半盲技术(即“基于文件”)方面进行了微小的改进,涉及定义注入有效负载的执行输出的URL。

  • 新增了一个--ignore-proxy开关,用于忽略系统默认的HTTP代理。

  • 对通过HTTP代理解析HTTP请求的方法进行了微小的改进(即--proxy选项)。

  • 新增了一个--smart开关,仅在积极启发式的情况下进行测试。

  • 对README.md进行了土耳其语的翻译(via @Kazgangap)。

  • 对解析SOAP/XML POST数据进行了微小的改进。

Commix工具主要用于发现和利用基于Web的应用程序中的命令注入漏洞。在命令注入攻击中,攻击者可以通过Web应用程序的响应直接推断注入命令的结果。工具支持基于结果的命令注入技术和盲目命令注入技术,包括基于时间和基于文件的盲目技术。

在基于结果的命令注入攻击中,攻击者可以通过Web应用程序的响应直接推断注入命令的结果。这包括经典的基于结果的技术,如炮弹休克、ICMP渗漏和DNS渗透,以及动态代码评估技术。

另一方面,盲目命令注入攻击在执行注入的shell命令后不会返回结果。Commix工具支持基于时间和基于文件的盲目技术。基于时间的技术通过引入时间延迟来推断命令执行结果,而基于文件的技术则将命令输出写入文件,攻击者可以访问该文件来获取执行结果。

项目地址:

https://github.com/commixproject/commix?tab=readme-ov-file

感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247503760&idx=3&sn=5ce5aa84e6fc336f5bb76eda12088656&chksm=9a9b48fb2f4e7fb3f364e4e3d7c9915c23550b92e6c989ea29e9534b8c17b66efd6f08b1ae1d&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh