php취약점 (1) 썸네일형 리스트형 [BeeBox] 인젝션 공격 유형(OS & PHP & SSI(Server side Includes)) *가상환경 구축 후 실습을 진행할 것을 권고드리며 대외 서버 및 홈페이지에 해킹 시도는 불법입니다. OS Commnad 인젝션 - 시스템 명령어를 쿼리문에 주입하여 취약한 변수를 통해 서버 운영체제에 접근하는 공격 DNS lookup의 도메인에 대한 IP를 확인 시켜주는 웹 사이트가 존재한다. - 해당 웹 서버의 입력 시 실행 코드를 확인한 결과 시스템 명령어 실행 함수인 shell_exec를 통한 nslookup 명령어를 실행하여 홈페이지에 출력 결과를 보여주는 것을 확인했다. - shell_exec의 실행 명령의 취약점을 사용하기 위해 파이프(|)를 사용하여 공격자가 임의의 명령어를 실행을 한다. - 명령어를 추가 입력하는 파이프를 사용하여 웹 사이트에 입력한 결과 서버에서 명령이 실행되고 홈페이지에.. 이전 1 다음
