Codeby Market от Сodeby

Мы запустили свой магазин CodebyMarket Equipment for InfoSec. Уже добавили RaspberryAlfa Long-RangeOrange PiArduino и многое другое. Купить Pentesting Devices


Эксплуататор инъекции команд: Commix

Скачать Commix

Commix (сокращенное от [comm] и [i]njection e[x]ploiter) является простой средой, которую веб разработчики, пентестеры или даже исследователи безопасности могут использовать для тестирования веб-приложений для поиска неполадок, ошибок или уязвимостей – относящихся к атакам инъекции команд. Найдите и используйте уязвимости инъекции команд с легкостью.

Commix написан на языке программирования Python.

 

Эксплуататор инъекции команд: Commix

Инъекция команд является атакой, во время которой целью является выполнение произвольных команд на хосте операционной системы через уязвимое приложение. Атаки инъекции команд возможны, когда приложение передает небезопасные пользовательские данные (формы, куки, заголовки HTTP и т. Д.) в системную оболочку. В этой атаке команды операционной системы, предоставляемые атакующим, обычно выполняются с привилегиями уязвимого приложения. Атаки инъекции команд возможны во многом из-за недостаточно тщательной проверки входных данных. Злобный хакер может использовать эту уязвимость для получения несанкционированного доступа к данным или сетевым ресурсам или даже получить доступ администратора к компьютеру.

Эта атака отличается от Code Injection (Инъекции кода) тем, что инъекция кода позволяет атакующему добавлять его собственный код, который после выполняется приложением. В Code Injection (Инъекции кода) атакующий расширяет функциональность приложения по умолчанию без необходимости выполнения системных команд.

 Успешная атака инъекции команд может привести к выполнению произвольных команд на пострадавшей системе через уязвимое приложение. Это может возникать, если приложение не обеспечивает достаточную проверку ввода и передает команды от пользователя через формы, куки-файлы или HTTP-заголовки.

Функции, доступные в Commix, включают в себя набор параметров для указания, какие параметры должны быть введены, и для добавления пейлоадов инъекции.

Пользователи могут определить данные в POST запросе, которые должны быть добавлены, также как и использовать суффикс и строки приставки (префикса) пейлоада инъекции для эксплуатации цели. Более того,
существует поддержка кодирования base64 и методов множественных инъекций (классических, основанных на eval, основанных на времени или базирующихся на файлах).

Требования

Python версия 2.6.x или 2.7.x требуется для запуска этой программы.

Поддерживаемые платформы

  • Linux
  • Mac OS X
  • Windows (экспериментально)

Установка Commix

Скачай commix, склонировав Git репозиторий:

git clone https://github.com/stasinopoulos/commix.git commix

Commix уже встроен в некоторые официальные репозитории следующих дистрибутивов Linux:

Commix также является уже установленным, на следующих фреймворках пентеста:


Paranoid - курс от Codeby Security School

Представляем вашему вниманию курс от команды codeby - "Комплекс мер по защите персональных данных, анонимности в интернете и не только" Подробнее ...


Использование

Для получения списка всех опций и коммутаторов используйте:

python commix.py -h

Взгляните на все доступные опции и коммутаторы здесь.

Примеры использования

Хотите ли вы получить какое-либо представление о том, как использовать commix?

Эксплуататор инъекции команд: Commix

Эксплуататор инъекции команд: Commix

Поддерживаемые платформы

  • Linux
  • Mac OS X
  • Windows (экспериментально)

Разработка модулей

Хотите ли вы увеличить возможности commix и адаптировать его под ваши нужды? Вы можете с легкостью разработать и импортировать наши собственные модули. Для получения большей информации, посетите страницу Википедии ‘module development‘.

Демонстрация работы Commix


Перевод: Анна Давыдова
Источник: n0where.net


Безопасная сделка с гарантом Сodeby

Гарант является доверенным посредником между Участниками при проведении сделки.​ Услуга сайта «Проведение сделок через Гаранта» предоставляется всем зарегистрированным пользователям codeby.net Подробнее ...


Похожие темы

Bluebox-ng — фреймворк для тестирования на п... Всем привет! В этой статье внимание будет обращено на фреймворк, для проведения тестов на проникновение. Ориентированный на среду VoIP. Фреймворк ба...
Joomla немного WAF и SQL Injection Граждане с опытом в области "Web-Pentesting" здесь ничего нового или (даже возможно) полезного не увидят (если только почётать), а вот "Новичкам" мо...
Сеть Белого Дома США (White House) была взломана... В то время как несекретные сети были нарушены, чиновники говорят, что нет никаких данных о том, что был получен доступ в секретные сети. Вашингт...
Сборка инструментов для web-пентестинга от Ondrik8... Тема будет интересная надеюсь, рассмотрим мы нападение на web приложения, а именно то что нас окружает, то с чем Мы с Вами сталкиваемся каждый день,...
Методики Red Team: Recon В качестве предисловия, стоит определиться, что же такое методики Red Team, в контексте этой статьи - это комплекс мероприятий при проведении тестир...