是否可以通过 ping 网站获得一些有用的信息?
Is it possible to get some useful information from pinging a web site?
我发现一个网站只是在 ping 其他网页,有一个输入网站地址的输入,并将结果作为一个段落输出到屏幕上,我已经提到这个输入没有验证, 所以我试着像当前网站的地址一样 ping 自己;和 id (site; id) 并且输出是
uid=1000(ubuntu) gid=1000(ubuntu) groups=1000(ubuntu),27(sudo),1001(rvm)
但我不知道从网页接收任何数据是什么意思,也许还有更多有用的东西,是否可以对此类输入进行 SQL 注入?
- 您发布的输出不是 ping 的输出。
- 为网页提供服务的网络服务和响应ping 的网络服务是完全不同的东西。也就是说,您可以 ping 一个不托管任何网页的服务器——这只是表明服务器已启动并已连接到网络的指示。
- Ping 通常用作一种穷人的正常运行时间监视器。它还可用于确定两台机器之间是否存在任何网络延迟。
Ping 不能用于执行 SQL 注入或任何其他类型的基于网络的攻击,因为它不使用网络。它可用于通过向计算机发送大量 ping 请求来执行粗暴的 DoS 攻击。
机器管理员经常禁用 ping 响应,因此无法 ping 一台机器并不意味着它已关闭。
我不认为这是 sql 注入。
我相信你偶然发现了 remote code execution,它比 sql injection 还要好;)(你看到的输出是 id 命令在 bash)
因为输出表明它是一个 ubuntu 服务器。您可以尝试一些 linux 命令并在服务器上收集更多信息。
注意:利用这些漏洞大多是非法的。除非网站管理员/维护者允许。
并回答你的问题。如果您有 remote code execution(如果您有 rce,您几乎可以做任何事情),绝对有可能在同一网站上收集更多信息。或者如果您想在其他网站上收集信息。我建议做一些基本的信息收集,比如 whois 等等..
我发现一个网站只是在 ping 其他网页,有一个输入网站地址的输入,并将结果作为一个段落输出到屏幕上,我已经提到这个输入没有验证, 所以我试着像当前网站的地址一样 ping 自己;和 id (site; id) 并且输出是
uid=1000(ubuntu) gid=1000(ubuntu) groups=1000(ubuntu),27(sudo),1001(rvm)
但我不知道从网页接收任何数据是什么意思,也许还有更多有用的东西,是否可以对此类输入进行 SQL 注入?
- 您发布的输出不是 ping 的输出。
- 为网页提供服务的网络服务和响应ping 的网络服务是完全不同的东西。也就是说,您可以 ping 一个不托管任何网页的服务器——这只是表明服务器已启动并已连接到网络的指示。
- Ping 通常用作一种穷人的正常运行时间监视器。它还可用于确定两台机器之间是否存在任何网络延迟。
Ping 不能用于执行 SQL 注入或任何其他类型的基于网络的攻击,因为它不使用网络。它可用于通过向计算机发送大量 ping 请求来执行粗暴的 DoS 攻击。
机器管理员经常禁用 ping 响应,因此无法 ping 一台机器并不意味着它已关闭。
我不认为这是 sql 注入。
我相信你偶然发现了 remote code execution,它比 sql injection 还要好;)(你看到的输出是 id 命令在 bash)
因为输出表明它是一个 ubuntu 服务器。您可以尝试一些 linux 命令并在服务器上收集更多信息。
注意:利用这些漏洞大多是非法的。除非网站管理员/维护者允许。
并回答你的问题。如果您有 remote code execution(如果您有 rce,您几乎可以做任何事情),绝对有可能在同一网站上收集更多信息。或者如果您想在其他网站上收集信息。我建议做一些基本的信息收集,比如 whois 等等..