commix 是一款优秀的自动化命令注入漏洞利用工具。
常用命令
1 | # POST + COOKIE |
记录测试结果
1 | --output-dir |
获取系统信息
1 | --all 获取所有信息 |
文件操作
1 | --file-read |
指定测试参数
1 | # 指定测试参数 |
跳过一些测试项
1 | # 测试等级 1-3 默认 1 |
官方例子
1 | Usage Examples |
get metasploit shell
commix
注入成功会自动获取一个Pseudo-Terminal
,默认为os_shell
模式,显示有点问题,不如metasploit
好用。
前提是指定--msf-path metasploit安装路径
,获取Pseudo-Terminal
之后,通过命令与metasploit
联动:
1 | # 执行之前启动 metasploit exploit/multi/handler |