seccon5 [SECCON Beginners CTF 2022] Util 1. 개요 command line injection 2. 분석 전형적인 커맨드라인 인젝션 문제이고, 거의 교과서 예제 문제 처럼 ping으로 나왔습니다. 1) 확인 접속하면 ping을 입력하라고 나옵니다. 2) 코드 코드를 보면 문자열을 입력받아서 exec로 시스템 콜을 진행함을 알 수 있습니다. 여기에 시스템 명령어를 넣어서 결과를 반환받을 수 있습니다. 명령어는 ; 세미콜론으로 구분할 수 있습니다. 3. exploit 1) 자바스크립트 코드를 보면 핑 이외의 문자열이 들어오면 정규식으로 검색해서, invalid 처리하는데, 깔끔하게 재 할당 해버립시다. 다음과 같이 정규식에 맞지 않은 내용이 들어오면 클라이언트 사이드에서 필터링을 겁니다. use strict 안걸려있고, function 함수 선언식으.. 2022. 6. 5. 이전 1 2 다음
