Dreamhack 워게임: command-injection-1 풀기

 

한 문제만 풀고 다른 공부하려고 했는데 계획이 어긋났다;

---

 

일단 VM 서버부터 생성하자.

 

 

흠.. ping을 보낼 수 있는 사이트가 하나 만들어졌는데, 어떻게 ping이 보내지는지 먼저 알아야할 것 같다.

8.8.8.8로 한번 ping을 보내보자.

 

잘 날아가네.

 

 

 

8.8.8.8 뒤에 && cat flag.py를 해보려고 했는데

개발자 도구를 열어보니까, 폼에 pattern 속성이 있어서 이거 먼저 지워줬다.

 

 

흠.. 뭔가 command가 잘못된 것 같다.

 

일단 큰따옴표가 양쪽으로 포함된거 보니까 문자열로 인식을 하고 싶었던 것 같다.

 

 

그렇다면 큰 따옴표를 적당한 위치에 배치시켜주고, sh 명령어를 이용해보자.

이번에도 폼에 있는 pattern 속성은 지워줘야한다.

 

 

성공했다.