Чат codeby в telegram перезагрузка

Обсуждаем вопросы информационной безопасности, методы защиты информации, программирование. Задавайте свои вопросы и комментируйте чужие.  Подробнее ...

Эксплуататор инъекции команд: Commix

Скачать Commix

Commix (сокращенное от [comm] и [i]njection e[x]ploiter) является простой средой, которую веб разработчики, пентестеры или даже исследователи безопасности могут использовать для тестирования веб-приложений для поиска неполадок, ошибок или уязвимостей – относящихся к атакам инъекции команд. Найдите и используйте уязвимости инъекции команд с легкостью.

Commix написан на языке программирования Python.

 

Эксплуататор инъекции команд: Commix

Инъекция команд является атакой, во время которой целью является выполнение произвольных команд на хосте операционной системы через уязвимое приложение. Атаки инъекции команд возможны, когда приложение передает небезопасные пользовательские данные (формы, куки, заголовки HTTP и т. Д.) в системную оболочку. В этой атаке команды операционной системы, предоставляемые атакующим, обычно выполняются с привилегиями уязвимого приложения. Атаки инъекции команд возможны во многом из-за недостаточно тщательной проверки входных данных. Злобный хакер может использовать эту уязвимость для получения несанкционированного доступа к данным или сетевым ресурсам или даже получить доступ администратора к компьютеру.

Эта атака отличается от Code Injection (Инъекции кода) тем, что инъекция кода позволяет атакующему добавлять его собственный код, который после выполняется приложением. В Code Injection (Инъекции кода) атакующий расширяет функциональность приложения по умолчанию без необходимости выполнения системных команд.

 Успешная атака инъекции команд может привести к выполнению произвольных команд на пострадавшей системе через уязвимое приложение. Это может возникать, если приложение не обеспечивает достаточную проверку ввода и передает команды от пользователя через формы, куки-файлы или HTTP-заголовки.

Функции, доступные в Commix, включают в себя набор параметров для указания, какие параметры должны быть введены, и для добавления пейлоадов инъекции.

Пользователи могут определить данные в POST запросе, которые должны быть добавлены, также как и использовать суффикс и строки приставки (префикса) пейлоада инъекции для эксплуатации цели. Более того,
существует поддержка кодирования base64 и методов множественных инъекций (классических, основанных на eval, основанных на времени или базирующихся на файлах).

Требования

Python версия 2.6.x или 2.7.x требуется для запуска этой программы.

Поддерживаемые платформы

  • Linux
  • Mac OS X
  • Windows (экспериментально)

Установка Commix

Скачай commix, склонировав Git репозиторий:

git clone https://github.com/stasinopoulos/commix.git commix

Commix уже встроен в некоторые официальные репозитории следующих дистрибутивов Linux:

Commix также является уже установленным, на следующих фреймворках пентеста:


Codeby.net совместно с PHDays 8

Объявляют о проведении грандиозного конкурса с умопомрачительными призами ! Получи бесплатно билет на PHDays 8, деньги, футболку с символикой codeby, а так же всеобщий респект и уважение. Подробнее ...

Использование

Для получения списка всех опций и коммутаторов используйте:

python commix.py -h

Взгляните на все доступные опции и коммутаторы здесь.

Примеры использования

Хотите ли вы получить какое-либо представление о том, как использовать commix?

Эксплуататор инъекции команд: Commix

Эксплуататор инъекции команд: Commix

Поддерживаемые платформы

  • Linux
  • Mac OS X
  • Windows (экспериментально)

Разработка модулей

Хотите ли вы увеличить возможности commix и адаптировать его под ваши нужды? Вы можете с легкостью разработать и импортировать наши собственные модули. Для получения большей информации, посетите страницу Википедии ‘module development‘.

Демонстрация работы Commix


<< Контент скрыт от гостей. Зарегистрируйтесь, чтобы снять ограничение ! >>


Наш канал в telegram канал codeby

Пишем об информационной безопасности, методах защиты информации, о программировании. Не пропускай новости с кодебай, будь в тренде !  Подробнее ...

Похожие темы

За гранью хакерских возможностей — 5... Сегодня настало время очередного токена. А так же на этом таске мы попрактикуемся в таком интересном векторе атаки, как Template Injection Server ...
IoTSeeker — сетевой сканер учетных записей п... IoT Сетевой сканер учетных данных по умолчанию: IoTSeeker Скачать IoTSeeker Этот сканнер проверяет сеть на наличие конкретных типов IoT устройс...
Пентест руками ламера — 11... Дорогие читатели! У некоторых возник некий вопрос-недоумение - зачем с темы IT мы скатились в какую то неясную движуху, а те, кто вклинился в те...
Топ 5 программ для хакера Топ программ для хакера 2014-2015 года Burp Suite - имеет ряд особенностей, которые могут помочь пентестеру и хакеру. Два совместимых приложения, исп...
Автоматический анализ памяти с AUMFOR... AUMFOR - автоматизированная программа для анализа содержимого памяти - основанная на графическом интерфейсе, она лучше всех поможет товарищу майор...