본문 바로가기
Wargame/webhacking.kr

webhacking.kr 44번

by morae23 2019. 2. 1.

[Command Injection]

 

 

44번 문제를 보면 아래와 같은 화면을 볼 수 있다.

 

 



 

 

먼저 a를 입력해보면 hello a 가 출력되는 것을 볼 수 있다.

 

 



 

 

다른 문자열들을 입력해도

hello [입력된 문자열]

이 출력된다.

 

이 것을 보면 echo를 이용한 것이 아닌가 하는 추측을 할 수 있다.

따라서 ;ls를 입력해보면 아래와 같이 아무 것도 출력되지 않는 것을 볼 수 있다.

 

 



 

 

아마 Command Injection을 막기 위해 ;나 ls 등에 필터링이 적용되어 있는 듯하다.

따라서 ‘’를 이용하여 입력하니 아래와 같이 ls가 입력된 것을 볼 수 있다.

 

 



 

 

이에 ;을 넣어주기 위해 ‘;l’s로 입력하니 결과를 얻을 수 없어

&를 이용하여 ‘&l’s와 같이 입력하였다.

 

 



 

 

ls의 결과를 얻을 수 있었고, 위의 페이지로 이동하면 clear할 수 있다.

 

 



 

 



'Wargame > webhacking.kr' 카테고리의 다른 글

webhacking.kr 55번  (0) 2019.02.01
webhacking.kr 45번  (0) 2019.02.01
webhacking.kr 40번  (0) 2019.02.01
webhacking.kr 33번  (0) 2019.02.01
webhacking.kr 29번  (0) 2019.01.29

댓글