Notice
Recent Posts
Recent Comments
Link
«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
Tags more
Archives
Today
Total
관리 메뉴

Jsecurity

Kali-commix 도구 사용하기 본문

Linux/Kali-Linux

Kali-commix 도구 사용하기

Great king 2019. 4. 24. 21:35

https://securitymax.tistory.com/58

 

commix 명령 인젝션(command injection) 도구

Command Injection 정의 - 커맨드 인젝션은 명령어를 삽입한다는 뜻으로 웹 요청에 시스템 명령어를 보내 이를 실행하도록 하는 방법이다. 웹 내부에서시스템 명령어를 실행하는 경우 사용자가 입력한 값이 올바른..

securitymax.tistory.com

위에 나와있는 포스팅에 이어서 실습을 하려고 합니다!

 

DVWA

DVWA의 Command Injection 을 활용합니다. 보안 Level은 low 또는 Medium 으로 설정해주세요!

 

 

 

Commix

commix 실행순서: 프로그램 > 즐겨찾기 03 - Web Application Analysis > commix

 

실행한 뒤 명령을 입력하기전에 준비를 해야합니다

 

첫번째. command Injection 대상의 URL이 필요합니다.

 

두번째. 대상의 Cookie 정보가 필요합니다.

 

쿠키 수집방법

개발자모드 (F12) > 콘솔탭 > 명령 > document.cookie 입력 

 

세번째. 해당 사이트의 POST DATA가 필요합니다.

127.0.0.1 의 값을 지우고 INJECT_HERE 로 수정하여

Commix Tool이 성공적으로 작동할수 있게끔 합니다.

 

commix
--url="http://192.168.56.101/DVWA/vulnerabilities/exec/" 
--data="ip=INJECT_HERE&Submit=submit" 
--cookie="security=low; PHPSESSID=kb2ph7njb4qlbhbc9tar9pfgq4"

 

입력문

명령을 입력하실때 IP와 Cookie 값은 다르기때문에 수정하셔서 입력하셔야합니다

대소문자에 유의하여 입력합니다.

 

Command Injection이 성공적으로 실행되어 shell 창이 보이게 됩니다.

 

그 후, 성공적으로 명령이 실행되는것을 볼 수 있습니다.

 

 

이상으로 commix Tool의 포스팅을 마칩니다!

저작자표시 비영리 동일조건

'Linux > Kali-Linux' 카테고리의 다른 글

kali- John The Ripper 도구  (0) 2019.05.06
sqlmap (SQL 인젝션 공격) 도구  (0) 2019.04.23
commix 명령 인젝션(command injection) 도구  (0) 2019.04.22
golismero 취약점 스캔 도구  (0) 2019.04.20
Dmitry 네트워크 스캐닝  (0) 2019.04.20
'Linux/Kali-Linux' Related Articles more
Comments