shikata ga nai

Private? There is no such things.

WackoPickoでCommand Injection(2)

Hello there,

 

もう一度、コマンドインジェクションの検証を。

『password』を入力して実行して。

 

f:id:ThisIsOne:20200104094114p:plain

 

Burp Suiteでキャッチして。

右クリックで『Send to Repeater』を選択して。

 

f:id:ThisIsOne:20200104094236p:plain

 

『Go』ボタンを押すと。

Responseエリアの下に『13 millis』と応答時間が表示され。

 

f:id:ThisIsOne:20200104094403p:plain

 

次に下記のコマンドを追記して実行してみると。

応答が返ってもおかしくないのだが、数分経っても表示されず。

いずれにせよ、追記したコマンドに反応しているので。

脆弱であることは言えるのかと。

 || ping -n 10 127.0.0.1 &

 

f:id:ThisIsOne:20200104095421p:plain

 

Best regards,

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain