본문 바로가기

IT/칼리리눅스 - 웹 해킹

(6회차) 칼리리눅스 - commix [원격코드실행] 실습

간단개념

Commix[ command ] [ injection ] [exploiter] 의 약어로 주어진 파라미터에서

커멘드인젝션 취약점을  찾고 공격할 수 있는 Python으로 개발된 오픈 소스 프로

그램 , 자동화 도구입니다.

 

Commix Injecton 이란 원격 코드 실행 이라고도 한다. 웹 사이트에서 이 공격에 취

약한 어플리케이션을 사용하면 공격자는 외부 입력 값으로 사용되는 파라미터를

이용해서 웹 사이트 호스팅 서버에 시스템 명령 또는 임의의 코드를 실행할 수 있다.


실습

 

url 과 cookie 를 구해줍니다.


해당 명령어를 이용해준다.


;을 이용해 명령어를 실행시켜주고 ls는 해당 url의 파일안의 내용을 확인해줍니다.


al 과 l 은 자세한 정보까지 출력해줍니다.


 

현재 작업중인 공간을 보여줍니다.


다들 직업이아니면 취미로 삼으시고 다른 허가받지않는 사이트에 이용하는건 불법입니다