Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 |
Tags
- 개발자
- 프로그래밍
- geminipro
- WebHacking
- system hacking
- 웹해킹 기초
- CTF
- 테크트렌드
- SQL Injection
- hackthissite
- Over The Wire
- write up
- burp suite
- sql injection bypass
- overthewire
- 웹해킹
- web-server
- webhacking.kr
- 코딩
- pythonprogramming
- web hacking
- Bandit
- XSS GAME
- 웹개발
- 인공지능
- Wargame
- 정보보안
- 사이버보안
- lord of sqlinjection
- root me
Archives
- Today
- Total
컴맹에서 컴공 그리고 화이트 해커가 되는 그날까지
hackthissite/basic/7번 문제 풀이 본문
반응형
7번 문제 화면이다.
이번에는 Sam이 7번 패스워드를 바로 이 디렉토리에 저장되어 있는 이상한? 이름의 파일에 저장했다고 한다.
그리고 관련 없는 다른 뉴스에서 Sam은 UNIX cal 명령의 출력을 반환하는 스크립트를 설정했다고 했다고 한다.
일단 보고 싶은 연도를 입력하고 'view'를 누르라고 하니 따라 해봐야겠다.
2022를 입력하고 'view'를 눌렀더니 달력이 나왔다!
하지만 내가 찾고 싶은건 달력이 아니라 여기 디렉토리에 있는 이상한 이름의 파일을 알고 싶다.
그러므로 UNIX 기반의 COMMAND 이므로 command injection 공격을 실행하는게 좋겠다.
;을 사용하여 달력 출력을 종료하고 ls를 통하여 파일이 무엇이 있는지 확인해 봐야겠다.
그 결과 화면에 달력이 출력되고 밑에 디렉토리에 저장되어 있는 파일들이 나왔다. 그중에 이상한 이름이라고 하니
'k1kh31b1n55h.php에 패스워드가 있을 것이다.
패스워드 발견!!!
command injection 공격에 대해 알 수 있는 문제였다.
반응형
'해킹 > Web hacking' 카테고리의 다른 글
| XSS 공격에 대하여! (0) | 2023.01.30 |
|---|---|
| hackthissite/basic/8번 풀이 (0) | 2022.11.24 |
| hackthissite/basic/6번 풀이 (0) | 2022.11.24 |
| webhacking.kr 14번 문제 풀이 (0) | 2022.11.22 |
| webhacking.kr 6번 풀이 (0) | 2022.11.21 |
'해킹/Web hacking' Related Articles
more
