Cubrimos la primera parte de Zico2 VulnHub Tutorial de CTF donde demostramos la inyección de comandos en una versión antigua de la base de datos PhpMyAdmin que nos permitió ejecutar comandos del sistema remoto.
Inyección de comando
Un ataque conocido como “inyección de comandos” tiene como objetivo utilizar una aplicación débil para ejecutar comandos arbitrarios en el sistema operativo host. Cuando una aplicación envía un shell del sistema con entradas confidenciales del usuario (como formularios, cookies, encabezados HTTP, etc.), pueden ser concebibles ataques de inyección de comandos. Los comandos del sistema operativo proporcionados por el atacante en este ataque normalmente se ejecutan con los privilegios del programa susceptible. Un factor importante en la posibilidad de ataques de inyección de comandos es la validación de entrada inadecuada.
Este ataque se diferencia de la inyección de código porque esta última permite al atacante insertar código personalizado que luego ejecutará la aplicación. Al utilizar la inyección de comandos, un atacante puede aumentar la funcionalidad predeterminada de una aplicación (es decir, la capacidad de ejecutar comandos del sistema) sin necesidad de insertar código.
Obtenga notas del certificado OSCP
El curso completo y práctico de pruebas de penetración de aplicaciones web
Tutorial en vídeo | Parte 1
