os command injection

보안/PoC 분석

OpenPanel에서 발생하는 OS Command Injection(CVE-2024-53584)

OpenPanel 이란?OpenPanel은 리눅스 기반 서버를 관리할 수 있도록 설계된 오픈소스 웹 호스팅 제어판 취약점 설명OpenPanel 0.3.4의 /server/timezone 경로의 시간을 설정하는 기능에서 timezone 파라미터 내 입력 값을 처리하는 과정에서 입력 값이 쉘 명령어로 직접 전달되는 경우가 존재공격자는 이 파라미터에 세미콜론(;)과 같은 명령 구분자를 사용하여 추가적인 악성 명령어를 삽입할 수 있으며, 이는 서버 시스템에서 임의의 명령어를 실행할 수 있음 취약점 분석아래 PoC는 OpenPanel 0.3.4에서 OS Command Injection 취약점을 악용하는 HTTP POST 요청의 예시# Exploit Title: OpenPanel 0.3.4 - OS Comman..

웹 해킹/웹 해킹 및 시큐어 코딩 기초

OS Command Injection

1) OS Command Injection이란 무엇인가?시스템 명령어(운영체제 명령어)를 주입하는 공격사용자 입력값에 시스템 명령어를 주입해서 원격으로 시스템 명령어를 실행할 수 있는 공격이다.공격자 의도대로 서버를 제어할 수 있게 된다.웹 서버에 대해 제어권을 얻는다 = 시스템 명령어 실행이 가능하다 = 서버 내 중요정보 열람, 수정, 삭제 가능해당 공격을 통해 웹 서버가 랜섬웨어 공격의 유포지로 활용될 수 있으며, 서버 내 중요파일이 랜섬웨어에 감염될수도 있다. 데이터베이스로 침투, 내부망에 침투하여 기밀 정보를 열람, 직원 PC를 감염시키는 등의 다양한 추가 공격이 가능하다.공격자는 이러한 공격을 통해 기업으로부터 돈을 뜯어낸다.시스템 명령어 실행을 통해서 단순히 해당 공격에서 끝나는 것이 아닌 2..

Security Engineer
'os command injection' 태그의 글 목록
상단으로

티스토리툴바