Iriton's log

blind-commandRead the flag file XD Reference Web Hackingdreamhack.io  페이지 분석문제 페이지에 접속하면 보이는 화면이다.cmd 파라미터를 통해서 명령어를 실행할 수 있나? 싶어서 ls를 먼저 보냈다. 문자열을 그대로 출력한다.  코드 분석코드는 너무 간단하다.cmd 값이 있을 때 기준, 요청이 GET 메소드인 경우 조건문 아무런 동작을 하지 않고다른 메소드일 경우 시스템 명령어를 실행한다. URL을 통해 ?cmd=ls를 추가했을 때 HTTP 요청 메소드가 GET 메소드이기 때문에 실행되지 않았다./ 경로에서 methods=['GET']으로만 정의되어 있다. 웹 서버에 POST 메소드로 전달하는 것도 POST 메소드가 정의되어 있지 않아서 불가하다. ..

보호되어 있는 글입니다.