Эксплуататор инъекции команд: Commix

Скачать Commix

Commix (сокращенное от [comm] и [i]njection e[x]ploiter) является простой средой, которую веб разработчики, пентестеры или даже исследователи безопасности могут использовать для тестирования веб-приложений для поиска неполадок, ошибок или уязвимостей – относящихся к атакам инъекции команд. Найдите и используйте уязвимости инъекции команд с легкостью.

Commix написан на языке программирования Python.

 

Эксплуататор инъекции команд: Commix

Инъекция команд является атакой, во время которой целью является выполнение произвольных команд на хосте операционной системы через уязвимое приложение. Атаки инъекции команд возможны, когда приложение передает небезопасные пользовательские данные (формы, куки, заголовки HTTP и т. Д.) в системную оболочку. В этой атаке команды операционной системы, предоставляемые атакующим, обычно выполняются с привилегиями уязвимого приложения. Атаки инъекции команд возможны во многом из-за недостаточно тщательной проверки входных данных. Злобный хакер может использовать эту уязвимость для получения несанкционированного доступа к данным или сетевым ресурсам или даже получить доступ администратора к компьютеру.

Эта атака отличается от Code Injection (Инъекции кода) тем, что инъекция кода позволяет атакующему добавлять его собственный код, который после выполняется приложением. В Code Injection (Инъекции кода) атакующий расширяет функциональность приложения по умолчанию без необходимости выполнения системных команд.

 Успешная атака инъекции команд может привести к выполнению произвольных команд на пострадавшей системе через уязвимое приложение. Это может возникать, если приложение не обеспечивает достаточную проверку ввода и передает команды от пользователя через формы, куки-файлы или HTTP-заголовки.

Функции, доступные в Commix, включают в себя набор параметров для указания, какие параметры должны быть введены, и для добавления пейлоадов инъекции.

Пользователи могут определить данные в POST запросе, которые должны быть добавлены, также как и использовать суффикс и строки приставки (префикса) пейлоада инъекции для эксплуатации цели. Более того,
существует поддержка кодирования base64 и методов множественных инъекций (классических, основанных на eval, основанных на времени или базирующихся на файлах).

Требования

Python версия 2.6.x или 2.7.x требуется для запуска этой программы.

Поддерживаемые платформы

  • Linux
  • Mac OS X
  • Windows (экспериментально)

Установка Commix

Скачай commix, склонировав Git репозиторий:

git clone https://github.com/stasinopoulos/commix.git commix

Commix уже встроен в некоторые официальные репозитории следующих дистрибутивов Linux:

Commix также является уже установленным, на следующих фреймворках пентеста:



Использование

Для получения списка всех опций и коммутаторов используйте:

python commix.py -h

Взгляните на все доступные опции и коммутаторы здесь.

Примеры использования

Хотите ли вы получить какое-либо представление о том, как использовать commix?

Эксплуататор инъекции команд: Commix

Эксплуататор инъекции команд: Commix

Поддерживаемые платформы

  • Linux
  • Mac OS X
  • Windows (экспериментально)

Разработка модулей

Хотите ли вы увеличить возможности commix и адаптировать его под ваши нужды? Вы можете с легкостью разработать и импортировать наши собственные модули. Для получения большей информации, посетите страницу Википедии ‘module development‘.

Демонстрация работы Commix


<< Контент скрыт от гостей. Зарегистрируйтесь, чтобы снять ограничение ! >>


Спонсор публикаций HOSTLAND.RU

Hostland.RU уже более 10 лет является профессионалом в сфере предоставления виртуального хостинга и целого ряда сопутствующих услуг. Мы отвечаем за качество нашей работы.

Похожие темы

Сеть Белого Дома США (White House) была взломана... В то время как несекретные сети были нарушены, чиновники говорят, что нет никаких данных о том, что был получен доступ в секретные сети. Вашингт...
Обход UAC на удаленном компьютере жертвы... Всем привет! В этой статье я бы хотел описать один важный прием в работе с Meterpreter’ом. А в частности: Способ повышения привилегий до си...
Автоматизация тестирования на проникновение с Port... В этой статье мы поговорим об инструменте, который позволит автоматизировать ряд методов, которыми мы обычно пользуемся, проводя тестирование на про...
Web Exploits Detector — WED-Scanner Web Exploit Detector - это приложение Node.js (и модуль NPM), используемое для обнаружения возможных заражений, вредоносного кода и подозрительных...
Разберем уязвимость Microsoft Office CVE 2017 8570... Сегодня разберем такую уязвимость как Microsoft Office CVE 2017 8570. Данная уязвимость довольно свежая, позволяет получить доступ к удаленной ма...