Medium
Command Injection level Medium on DVWA
Di bawah ini adalah source-code dari command injection level medium di DVWA.
Mencari Informasi
Terlihat dibaris ke-7 sampai 11, terdapat blacklist untuk string &&
dan ;
pada inputan. Tetapi seperti yang telah di bahas sebelumnya terdapat alternatif lain yaitu |
. 😁
Melakukan Serangan
Cukup ganti inputan menjadi menggunakan tanda |
, dan hasilnya akan seperti berikut:
Jika menggunakan |
maka hasil dari perintah ping tidak akan muncul. Karena pipeline akan melakukan perintah terakhir apabila perintah-perintah sebelumnya tidak terkait atau tidak dapat menjadi input untuk perintah berikutnya.
Last updated