# burp suite COMMAND INJECTION LAB ## COMMAND INJECTION - 它允許攻擊者在運行應用程序的服務器上執行任意操作系統命令,通常會完全破壞應用程序及其所有數據。 - 通常發生在<font color="#f00">直接</font>把使用者參數當作COMMAND LINE參數執行而導致的 ## 科普 && 和&和||和|之差異 - & 如果在指令後面加上 & 符別, 即表示指令在背景執行, 例如 my-script.sh & - && 用 “&&” 分開兩個指令, 即第一道指令執行成功後, 才會執行第二道指令, 例如 make && make install - | 這是管線的符號, 即是將第一道指令的輸出, 作為第二道指令的輸入, 例如 ls | grep filename - || 表示第一道指令執行失敗後, 才會執行第二道指令, 例如 ```bash= cat filename || echo “fail” ``` ## 此次實驗 ![](https://i.imgur.com/PTKCG2P.png) ![](https://i.imgur.com/XURv8Kn.png) ![](https://i.imgur.com/Dhktgrz.png) ![](https://i.imgur.com/JKBvLck.png) ![](https://i.imgur.com/3e0RxiP.png) ![](https://i.imgur.com/aDlsxbk.png) ![](https://i.imgur.com/co36fwH.png) ![](https://i.imgur.com/k8kHDtB.png) ### 輸入注入參數 - productId=2&storeId=1<font color="#f00">|ls</font> - productId=2&storeId=1|ls