Commix 一体化操作系统命令注入和利用工具

Commix v3.9发布了，这是一款自动化一体化操作系统命令注入和利用工具。Commix（[comm]和[i]njection e[x]ploiter的缩写）是由Anastasios Stasinopoulos（@ancst）开发的，旨在为Web开发人员、渗透测试人员以及安全研究人员提供一种测试基于Web的应用程序的工具，以发现与命令注入相关的漏洞、错误或安全漏洞。

变更日志v3.9包括以下内容：

• 修复了多个关于未处理异常的错误，这些错误是基于多个报告的反馈。

• 对将用户提供的命令（--os-cmd选项）记录到文件的小改进。

• 改进了通过Tor HTTP代理（--tor开关）解析HTTP请求的方法。

• 新增了一个新的（隐藏的）选项--ignore-stdin，用于忽略STDIN输入。(via @n00b-bot)

• 对成功完成扫描过程的小改进，包括省略带有反CSRF令牌的参数的情况。(via @xerxoria)

• 对基于Windows的半盲技术（即“基于文件”）的有效负载进行了微小的改进，即命令执行输出。

• 在半盲技术（即“基于文件”）方面进行了微小的改进，涉及定义注入有效负载的执行输出的URL。

• 新增了一个--ignore-proxy开关，用于忽略系统默认的HTTP代理。

• 对通过HTTP代理解析HTTP请求的方法进行了微小的改进（即--proxy选项）。

• 新增了一个--smart开关，仅在积极启发式的情况下进行测试。

• 对README.md进行了土耳其语的翻译（via @Kazgangap）。

• 对解析SOAP/XML POST数据进行了微小的改进。

Commix工具主要用于发现和利用基于Web的应用程序中的命令注入漏洞。在命令注入攻击中，攻击者可以通过Web应用程序的响应直接推断注入命令的结果。工具支持基于结果的命令注入技术和盲目命令注入技术，包括基于时间和基于文件的盲目技术。

在基于结果的命令注入攻击中，攻击者可以通过Web应用程序的响应直接推断注入命令的结果。这包括经典的基于结果的技术，如炮弹休克、ICMP渗漏和DNS渗透，以及动态代码评估技术。

另一方面，盲目命令注入攻击在执行注入的shell命令后不会返回结果。Commix工具支持基于时间和基于文件的盲目技术。基于时间的技术通过引入时间延迟来推断命令执行结果，而基于文件的技术则将命令输出写入文件，攻击者可以访问该文件来获取执行结果。

项目地址：

https://github.com/commixproject/commix?tab=readme-ov-file