命令注入（Command Injection）攻击是针对Web应用的一种攻击方式。很多Web应用会读取用户提交的数据，然后传递到系统Shell，执行特定的操作，如为用户创建单独的目录或文件、搜索特定的文件。如果对用户提交的数据缺少严格的验证，就会造成命令注入漏洞。

 

Kali Linux提供针对该漏洞的专向工具Commix。该工具支持Results-Base和Blind两类注入方式。它以命令行方式运行。它会自动攻击漏洞，枚举目标主机信息，并允许用户上传恶意文件，达到控制主机的目的。