Kali-commix 도구 사용하기
https://securitymax.tistory.com/58
commix 명령 인젝션(command injection) 도구
Command Injection 정의 - 커맨드 인젝션은 명령어를 삽입한다는 뜻으로 웹 요청에 시스템 명령어를 보내 이를 실행하도록 하는 방법이다. 웹 내부에서시스템 명령어를 실행하는 경우 사용자가 입력한 값이 올바른..
securitymax.tistory.com
위에 나와있는 포스팅에 이어서 실습을 하려고 합니다!
DVWA의 Command Injection 을 활용합니다. 보안 Level은 low 또는 Medium 으로 설정해주세요!
commix 실행순서: 프로그램 > 즐겨찾기 03 - Web Application Analysis > commix
실행한 뒤 명령을 입력하기전에 준비를 해야합니다
첫번째. command Injection 대상의 URL이 필요합니다.
두번째. 대상의 Cookie 정보가 필요합니다.
쿠키 수집방법
개발자모드 (F12) > 콘솔탭 > 명령 > document.cookie 입력
세번째. 해당 사이트의 POST DATA가 필요합니다.
127.0.0.1 의 값을 지우고 INJECT_HERE 로 수정하여
Commix Tool이 성공적으로 작동할수 있게끔 합니다.
commix
--url="http://192.168.56.101/DVWA/vulnerabilities/exec/"
--data="ip=INJECT_HERE&Submit=submit"
--cookie="security=low; PHPSESSID=kb2ph7njb4qlbhbc9tar9pfgq4"
명령을 입력하실때 IP와 Cookie 값은 다르기때문에 수정하셔서 입력하셔야합니다
대소문자에 유의하여 입력합니다.
Command Injection이 성공적으로 실행되어 shell 창이 보이게 됩니다.
그 후, 성공적으로 명령이 실행되는것을 볼 수 있습니다.
이상으로 commix Tool의 포스팅을 마칩니다!