728x90
Command Injection
사용자가 취약한 웹사이트의 입력폼이나 기타 방법을 통해 서버에 직접적,간접적으로 명령어를 전송하여 실행 시키는 공격 방법이다.
low level
low 단계에서는 필터링 없이 그대로 shell_exec() 함수에 전달하여 ping 명령어를 실행하고 있다.
사용자 입력을 기반으로 시스템 함수를 사용하고, 입력에 대한 필터링이 없기 때문에 &&, ;, | 등을 사용하여 여러 개의 명령어를 연속으로 실행시킬 수 있다.
127.0.0.1 && dir && ipconfig 간단한 명령어 입력으로 디렉토리 경로, 파일명 ,IP정보를 알 수 있다.
Medium level
Medium 단계에서는 "&&"과 ";"만 필터링 되고 있다.
다른 문자들을 이용하여 공격에 성공할수 있다.
728x90
'Web > DVWA 실습' 카테고리의 다른 글
| DVWA - Insecure CAPTCHA (low,medium) 실습 (0) | 2022.10.30 |
|---|---|
| DVWA - File Upload (low,medium) 실습 (0) | 2022.10.30 |
| DVWA - File Inclusion (low,medium) 실습 (0) | 2022.10.30 |
| DVWA - CSRF(low,medium) 실습 (0) | 2022.10.30 |
| DVWA-Brute Force(low, medium) 실습 (2) | 2022.10.30 |
