Можно ли получить полезную информацию при пинге веб-сайта? - PullRequest
Новая
       6

Можно ли получить полезную информацию при пинге веб-сайта?

0 голосов
/ 04 октября 2018

Я нашел веб-сайт, который просто проверяет другие веб-страницы, есть вход для ввода адреса веб-сайта и выводит результат на экран в виде абзаца, и я упомянул, что этот ввод не проверяется, поэтомуЯ пытался пинговать себя, как, адрес текущего сайта;и id (site; id) и вывод был 

uid=1000(ubuntu) gid=1000(ubuntu) groups=1000(ubuntu),27(sudo),1001(rvm)

Но я не знаю, что это значит, и, возможно, есть более полезные вещи, чтобы получить какие-либо данные с веб-страницы и возможно ли этосделать SQL-инъекции для таких входных данных?

Ответы [ 2 ]

0 голосов
/ 04 октября 2018

Я не думаю, что это инъекция sql.
Я полагаю, что вы наткнулись на remote code execution, что даже лучше, чем sql injection;) (вывод, который вы видите, является результатом команды id в bash)
, поскольку вывод указывает, чтоэто сервер Ubuntu.вы можете попробовать некоторые команды linux и собрать больше информации на сервере.

Примечание. Использование этих уязвимостей в основном незаконно.Если администратор сайта / сопровождающий не разрешит этого.

И ответить на ваш вопрос.Определенно можно собрать больше информации на том же веб-сайте, если у вас есть remote code execution (если у вас есть rce, вы можете делать практически все что угодно).или если вы хотите собрать информацию на других сайтах.я бы посоветовал заняться сбором базовой информации, например, whois и т. д.

0 голосов
/ 04 октября 2018
  • Отправленный вами вывод не выводится из ping.
  • Веб-служба, которая обслуживает веб-страницы, и сетевая служба, которая отвечает на запросы, - это совершенно разные вещи.То есть вы можете пропинговать сервер, на котором нет веб-страниц, - это просто признак того, что сервер подключен и подключен к сети.
  • Пинг часто используется как вид работоспособности бедного человека.монитор.Это также может быть полезно для определения наличия задержки в сети между двумя компьютерами.

  • Ping не может использоваться для выполнения SQL-инъекций или любого другого вида веб-атаки, поскольку он не используетпаутина.С его помощью можно выполнить грубую DoS-атаку, затопив машину огромным количеством пинг-запросов.

  • Администраторы машины часто отключают пинг-ответы, поэтому невозможность пинговать машину неэто означает, что он упал.

...