#php #windows #shell #command #code-injection
#php #Windows #оболочка #команда #внедрение кода
Вопрос:
Я собираюсь провести презентацию в классе по безопасности веб-сайта, и я создал демонстрационный веб-сайт (на виртуальной машине) с уязвимостями sql injection, xss и PHP injection. Я собираюсь загрузить PHP-файл, который выполняет команды оболочки, и мой вопрос заключается в том, какая худшая команда оболочки, которую я могу выполнить на ПК с Windows? Будет ли «rd /S /Q C:» успешно удалять диск C? Я хочу сделать что-то, что сломает ОС. Спасибо!
Комментарии:
1. Пользователь apache должен иметь разрешения на удаление диска. Вы действительно хотите это сделать? Не испортит ли это вашу презентацию?
2. @tandu: Он мог запускать это на виртуальной машине.
3. @Kaivo верно, но удаление всего жесткого диска — это немного экстремально. Вы можете достичь того же результата, удалив один файл!
4. Да, я собирался запустить его на виртуальной машине. Я хотел полностью уничтожить компьютер просто для драматического эффекта, показывая, что может быть уничтожен не только веб-сайт, но и все на этом компьютере и, возможно, в сети.
Ответ №1:
Как испортить компьютер есть несколько хороших идей, хотя не все из них используют команды оболочки Windows…
Ответ №2:
mbrfix /drive 0 clean
Это должно сработать 🙂
Работает на большинстве версий Windows (98 и выше), насколько я знаю.
Редактировать: Хотя вы все еще можете загрузиться в режиме восстановления (с компакт-диска) и выполнить mbrfix /fix . Но просто оставим это подальше от вашей аудитории, хорошо?
Конечно, как и в любой другой ОС, есть всевозможные гадости, которые вы могли бы использовать, чтобы поставить ее на колени.
В старых версиях Windows вы могли даже повредить оборудование. В настоящее время у вас может быть небольшой инструмент аппаратного обнаружения в сочетании с перезаписью CMOS / флэш-памяти (например, даже карт GFX).
Правка 2: Чуть не забыл, вам нужно перезагрузить компьютер, чтобы изменения вступили в силу. 😀