📜  Commix – 操作系统命令注入和利用工具(1)

📅  最后修改于: 2023-12-03 15:30:04.030000             🧑  作者: Mango

Commix – 操作系统命令注入和利用工具

Commix是一款基于Python的自动化工具,用于检测和利用操作系统命令注入漏洞。它可以自动化地检测和利用各种操作系统上的命令注入漏洞,例如Windows、Linux、Mac OS X等。 Commix还可以处理复杂的注入情况,例如带有引号、括号、转义字符等。

安装Commix

Commix是一款基于Python的工具,因此首先需要安装Python环境。在Linux上,你可以使用以下命令安装Python:

sudo apt-get install python

在Windows上,你可以从官网下载Python安装包进行安装。安装Python之后,使用以下命令安装Commix:

git clone https://github.com/commixproject/commix.git
cd commix
python setup.py install
使用Commix

默认情况下,Commix将检测各种Web应用程序中的注入漏洞。你可以使用以下命令运行Commix:

python commix.py -u "http://example.com/page.php?id=1"

其中,"-u"选项指定目标URL。Commix将自动检测页面中的注入漏洞,并尝试利用它们。

Commix还支持其他命令行选项,例如指定请求头信息、使用代理等。你可以使用以下命令查看所有命令行选项:

python commix.py --help
利用Commix

Commix可以利用各种注入漏洞执行任意操作系统命令。例如,使用以下命令执行"whoami"命令:

python commix.py -u "http://example.com/page.php?id=1" --os-cmd "whoami"

Commix还支持使用多种不同的注入技术,例如"union"注入、"time-delay"注入等。你可以使用以下命令指定不同的注入技术:

python commix.py -u "http://example.com/page.php?id=1" --technique=UNION --os-cmd "whoami"

Commix还支持批量测试多个目标。你可以使用以下命令指定一个包含多个目标URL的文本文件:

python commix.py -m targets.txt --os-cmd "whoami"
总结

Commix是一款非常强大的操作系统命令注入和利用工具。它可以自动化地检测和利用各种操作系统上的命令注入漏洞,同时还支持多种不同的注入技术和批量测试多个目标。 Commix的使用非常简单和直观,因此它是一款非常受欢迎的工具。