Abbiamo coperto uno scenario pratico sull'uso dell'iniezione di comando Stanza TryHackMe Epoch.
Ottieni gli appunti dell'esame COMPTIA Security+
Il corso pratico completo sul framework Metasploit
Descrizione della sfida
Sii onesto, lo hai fatto Sempre volevo uno strumento online che potesse aiutarti a convertire date e timestamp UNIX! Aspetta... non è necessario che sia online, dici? Mi stai dicendo che esiste una riga di comando Linux programma che può già fare la stessa cosa? Beh, certo, lo sapevamo già! Il nostro sito web in realtà trasmette semplicemente il tuo input direttamente a quel programma a riga di comando!
Risposte in camera
Trascrizione video
Quindi l'idea è che ragazzi, come potete vedere, c'è questa sfida qui. Si tratta di eseguire uno strumento da riga di comando ma accessibile dal web, quindi qualunque cosa digitiate qui viene eseguita. Lo scopo di questa stanza è farti familiarizzare con il concetto di command injection, che è una delle prime 10 vulnerabilità OWASP. Il problema nell'applicazione Web di questo scenario è che le query dell'utente vengono passate direttamente al sistema senza un adeguato filtraggio o convalida dell'input.
Per sfruttare questa vulnerabilità, possiamo eseguire comandi o due comandi contemporaneamente in Linux utilizzando due modi. Il primo è usare il punto e virgola oppure possiamo usare la doppia e commerciale tra i due comandi. Possiamo ottenere una shell sul sistema utilizzando una shell inversa bash che alla fine ci porta ad accedere al sistema e recuperare il flag.
Videoprocedura dettagliata