Lab: Blind OS command injection with time delays:基于时间延迟的系统命令盲注

靶场内容：

本实验在反馈功能中包含一个OS 命令盲注入漏洞。

应用程序执行包含用户提供的详细信息的 shell 命令。命令的输出不会在响应中返回。

解决实验室，利用OS盲注漏洞造成10秒延迟。

漏洞分析：

• 这就是一个关于时间延迟的命令注入
• 这次的注入点在email
• 随便打开一个标签页
• 然后发现上面有个submit feedback
• 点进去之后，完成信息的输入，提交
• 达到burp上截获这个数据包
• 在注入点email中添加||ping+-c+10+127.0.0.1||
• 注意，一定要使用加号连接
• 最后等待十秒钟，靶场就 过了
• 这个漏洞是一个盲注，你提交email之后根本不会告诉你什么，mail命令的输出不会在报文中返回，无法判断是否成功注入
• 不信你改成whoami

关键截图