shikata ga nai

Private? There is no such things.

bWAPPでA1-OS Command Injection

Hello there,

 

A1 ⇨ OS Command Injectionを選択して。

『Lookup』ボタンを押して確認すると。

『nslookup』コマンドが実行されたようで。

 

f:id:ThisIsOne:20191230164518p:plain

 

入力したURLの後に『;』を追加して。

下記のコマンドを追加して確認すると。

パスワードファイルの内容が表示されて。

 www.nsa.gov; cat /etc/passwd

 

f:id:ThisIsOne:20191230170110p:plain

 

さらに『|』を追加して実行すると。

そのとおりに表示され。

 www.nsa.gov; cat /etc/passwd | head -2

 

f:id:ThisIsOne:20191230170354p:plain

 

Best regards,

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain