injection(2)
-
command injection
injection 악의적인 데이터를 프로그램에 입력하여 이를 시스템 명령어, 코드, 데이터베이스 쿼리 등으로 실행되게 하는 기법 command injection 이용자의 입력을 시스템 명령어로 실행하게 하는 취약점 명령어를 실행하는 함수에 이용자가 임의의 인자를 전달할 수 있을 때 발생함 파이썬 웹 애플리케이션에서 입력한 임의 IP에 ping 전송하고 싶을 때 os.system("ping [user-input]") 임의 파일을 읽고 싶을 때 os.system("cat [user-input]") 메타문자 ' ' 명령어 치환 $() 명령어 치환 && 명령어 연속 실행 || 명령어 연속 실행 ; 명령어 구분자 | 파이프 : 앞 명령어의 결과가 뒷 명령어의 입력으로 들어감
2024.03.06 -
DreamHack [web] command-injection-1
web 워게임입니다. ping 페이지 접속ip를 입력하면 ping을 보내는 형태 실패 pattern = " [A-Z a-z 0-9 .] {5, 20} "해당 패턴은 정규 표현식이다.알파벳 대소문자, 숫자, 마침표만으로 이루어진 길이가 5이상 20이하는 문자열을 의미한다. 그렇기에 ;와 같은 메타 문자는 요청한 형식과 일치하지 않는다는 문구가 뜨는 것임을 알 수 있다.
2023.08.30