webhacking.kr 44번
-
[Webhacking.kr] 44번 풀이Wargame/webhacking.kr (old) 2019. 5. 8. 16:12
name에 test를 입력하여 Make 버튼을 클릭해보았다. go.html로 넘어가고 hello test가 출력된다.admin으로 만들어보니 hello admin이 출력된다. admin으로 접근하는것은 아닌것 같다. 이것저것해보니 name의 길이는 5글자로 제한되어 있다.도저히 어떤 문제인지 알 수 없어 찾아보니 Command Injection 문제였다. name의 값을 다른 것을 넣어줄 때마다 값이 바뀌는 것을 보니"echo 'hello $name'" > index/go.html 의 명령어가 실행되는 것으로 추측하였다. ;ls go.html 페이지에 아무 값도 출력되지 않았다.. 필터링되어 있는 것 같다.어떤 문자가 필터링되어 있는지 알아보기 위해 ;를 입력해보았다. hello만 출력되었다. 공백문자로..