TigerDemon
burp suite로 Command Injection 실습 2 본문
https://portswigger.net/web-security/os-command-injection/lab-blind-time-delays
Web Application Security, Testing, & Scanning - PortSwigger
PortSwigger offers tools for web application security, testing, & scanning. Choose from a range of security tools, & identify the very latest vulnerabilities.
portswigger.net
버퍼 스위트로 위 링크를 열면 아래 사진처럼 뜬다.
문제 설명을 읽어보면 " 블라인드 OS 명령 주입 취약점을 악용하여 10초 지연을 일으킵니다." 라고 한다.
기법 1 : 시간 지연
- 응답 시간이 지연되는지로 확인
& ping -c 10 127.0.0.1 &
순서는 intercept on을 한 뒤에 Submit feedback 버튼을 누르고 내용을 수정하고 Forward를 누르고 결과값을 확인하면 된다.
우선 &로 했을 때 문제가 풀리지 않은 것을 확인할 수 있다. 첫번째 실습처럼 &은 명령 구분자지만, 원래 명령 구조와 섞이면 깨질 수 있다고 했기 때문에 |로 다시 해보았는데 다른 Failed가 나왔다
흠 찾아보니 ||를 사용하는 방법도 있다고 해서 그 방법으로 다시 해보겠다.
위 처럼 입력하니 아래처럼 떴다.
'2025-SWLUG > 웹해킹' 카테고리의 다른 글
| burp suite로 Path traversal 실습 1 (0) | 2025.10.26 |
|---|---|
| Path traversal 정의 및 공격 기법 (0) | 2025.10.26 |
| burp suite로 Command Injection 실습 1 (0) | 2025.10.01 |
| Command Injection 정의 및 공격 기법 (0) | 2025.10.01 |
| burp suite로 SQL Injection 실습 2 (0) | 2025.09.24 |
'2025-SWLUG/웹해킹' Related Articles
more
