command-injection-1 | 워게임 | Dreamhack
로그인 | Dreamhack
dreamhack.io
문제
특정 Host에 ping 패킷을 보내는 서비스입니다.
Command Injection을 통해 플래그를 획득하세요. 플래그는 flag.py에 있습니다.
풀이
문제 파일 열어보니 dockerfile이랑 deploy 파일 들어있습니다
vm 생성 해본 결과
입력 후에는 이런 결과 값을 반환합니다
devtool 들어가서 살펴보니 ping 입력에 제한 걸려있는 부분을 확인 가능함
<input>태그인데 pattern부분이 좀 제한적이네요
삭제하고 8.8.8.8; cat flag.py 입력
에러가 떴어요
app.py의 cmd 부분 확인해보니 ""로 host 부분 감싸야하는듯?
안되어서 명령어부분 "" 감쌋더니 성공
'swuforce 심화팀 > 워게임 스터디' 카테고리의 다른 글
| [드림핵] devtools-sources (0) | 2025.11.11 |
|---|---|
| Command Injection (0) | 2025.11.04 |
| 파일 업로드 취약점 실습 (1) | 2025.10.28 |
| [드림핵] image-storage (0) | 2025.10.28 |
| Web Goat를 통한 XSS 실습 (0) | 2025.09.30 |