Recent Posts
Recent Comments
Link
«   2025/06   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30
Tags
more
Archives
Today
Total
관리 메뉴

CIDY

[Web_Hacking] stage7_Command Injection 본문

Hack/DreamHack(로드맵)

[Web_Hacking] stage7_Command Injection

CIDY 2022. 7. 30. 05:02

*Command Injection

이전에 임의의 쿼리문 Injection처럼 말 그대로 명령어를 Inject하는거다. 이용자의 입력을 시스템 명령어로 실행하도록 함 -> 명령어 실행 함수에 이용자가 인자를 전달할 수 있는 상황이어야 함.

 

그리고 시스템 해킹 공부할 때 배웠던 메타문자 같은걸로 명령 여러개 실행하는것도 가능함을 감안하면 다양한 공격이 가능할 듯.

 

 

->메타문자

`` 명령어 치환
``안에 들어있는 명령어를 실행한 결과로 치환
 
$() 명령어 치환
$()안에 들어있는 명령어를 실행한 결과로 치환. 중복 사용 가능. 
 
&& 명령어 연속 실행
한 줄에 여러 명령어 사용 가능. 앞 명령어에서 에러가 없어야 뒷 명령어를 실행. (Logical And)
 
|| 명령어 연속 실행
한 줄에 여러 명령어 사용 가능. 앞 명령어에서 에러가 발생해야 뒷 명령어 실행. (Logical Or)
 
; 명령어 구분자
한 줄에 여러 명령어 사용 가능. 단순 명령어 구분 기능으로, 앞 명령어의 에러 여부와 상관없이 뒷 명령어 실행.
 
| 파이프
앞 명령어의 결과가 뒷 명령어의 입력으로 들어감.