Study
OS Command Injection : low 본문
OS Command Injection
: 쉘 인젝션으로도 알려져 있으며
공격자가 서버에 임의의 os명령을 실행할 수 있도록하는 웹 보안 취약점이다.
일반적으로 응용 프로그램과 모든 데이터를 완전히 손상시킨다.
공격을 시도할 화면은 다음과 같고 Lookup을 누르면
위와 같이 nslookup을 실행했을 때의 결과가 나온다.
다른 시스템 명령어들을 사용해 결과가 나오는지도 확인해보자
명령어의 실패여부와 상관없이 한줄에 있는 명령어를 모두 실행하는 ; 를 사용해서
/etc/passwd 파일에 접근해보았다.
결과)
다음으로는 현재 디렉터리의 경로를 출력해보았는데
아래와 같이 잘 출력되었다.
그리고 | (파이프라인: 앞에서 실행한 명령어 출력 결과를 뒤에서 실행하는 명령어 입력 값으로 처리)도 잘 실행되는지 확인해보기 위해
/etc/passwd의 첫부분 부터 셋째 행까지만 출력해보았다.
결과)
명령어들이 필터링 되는 것 없이 잘 수행되기 때문에 매우 취약한 상태라는 것을 알 수 있었다.
참고한 사이트
'웹 보안 > Beebox' 카테고리의 다른 글
| OS Command Injection : medium, high (0) | 2020.12.23 |
|---|---|
| HTML Injection - Reflected (GET) : high (0) | 2020.12.23 |
| HTML Injection - Reflected (GET) : medium (0) | 2020.12.23 |
| HTML Injection - Reflected (GET) : low (0) | 2020.12.23 |
| CSRF (Transfer Amount) : medium, high (0) | 2020.12.21 |
'웹 보안/Beebox' Related Articles
more
