CIDY
[Web_Hacking] stage7_Command Injection 본문
*Command Injection
이전에 임의의 쿼리문 Injection처럼 말 그대로 명령어를 Inject하는거다. 이용자의 입력을 시스템 명령어로 실행하도록 함 -> 명령어 실행 함수에 이용자가 인자를 전달할 수 있는 상황이어야 함.
그리고 시스템 해킹 공부할 때 배웠던 메타문자 같은걸로 명령 여러개 실행하는것도 가능함을 감안하면 다양한 공격이 가능할 듯.
->메타문자
`` | 명령어 치환 ``안에 들어있는 명령어를 실행한 결과로 치환 |
|
$() | 명령어 치환 $()안에 들어있는 명령어를 실행한 결과로 치환. 중복 사용 가능. |
|
&& | 명령어 연속 실행 한 줄에 여러 명령어 사용 가능. 앞 명령어에서 에러가 없어야 뒷 명령어를 실행. (Logical And) |
|
|| | 명령어 연속 실행 한 줄에 여러 명령어 사용 가능. 앞 명령어에서 에러가 발생해야 뒷 명령어 실행. (Logical Or) |
|
; | 명령어 구분자 한 줄에 여러 명령어 사용 가능. 단순 명령어 구분 기능으로, 앞 명령어의 에러 여부와 상관없이 뒷 명령어 실행. |
|
| | 파이프 앞 명령어의 결과가 뒷 명령어의 입력으로 들어감. |
'Hack > DreamHack(로드맵)' 카테고리의 다른 글
[Web_Hacking] stage8_File Vulnerability (0) | 2022.07.30 |
---|---|
[Web_Hacking] stage7_문제풀이(command-injection-1) (0) | 2022.07.30 |
[Web_Hacking] stage6_문제풀이(Mango) (0) | 2022.07.30 |
[Web_Hacking] stage6_NoSQL Injection (0) | 2022.07.30 |
[Web_Hacking] stage6_NON-Relational DBMS (0) | 2022.07.29 |