💉Command Injection
Command injection es un tipo de vulnerabilidad de seguridad que ocurre cuando un atacante es capaz de inyectar comandos maliciosos en una aplicación o sistema vulnerable a través de inputs.
Nota: Este tipo de técnicas son muy invasivas, ya que vamos a ganar acceso a distintos sistemas, por lo que no podemos utilizar estas técnicas sin un consentimiento o aprobación por parte del objetivo
Comprobar si es vulnerable a SQL Inyection
Introducir una comilla simple o paréntesis en un input y ver si da un error de backend
Commix
Commix es una herramienta de prueba de penetración automatizada diseñada para realizar pruebas de inyección de comandos en aplicaciones web. Esta herramienta es de código abierto y está disponible en Kali Linux y otras plataformas.
Hacer peticiones como si estuviéramos autenticados para evitar el redirect
Entrar a una página y capturar con BurpSuite
Copiar la cadena de la cookie de sesión PHPSESSID, y lo que envía lo ponemos con el flag --data
Última actualización