02 Lab: Blind OS command injection with time delays

Objetivo

This lab contains a blind OS command injection vulnerability in the feedback function.
The application executes a shell command containing the user-supplied details. The output from the command is not returned in the response.
To solve the lab, exploit the blind OS command injection vulnerability to cause a 10 second delay.

Solución

Suponemos que la funcionalidad de feedback se realiza usando el siguiente script:

mail -s "This site is great" -aFrom:[email protected] [email protected]

Evaluamos la sección de Feedback a travez del repeater, los campos name y email
image.png
Añadimos & sleep 10 # en los campos, con el espacio an inicio, para añadir una instrucción extra, recordemos codificar esta sección CTRL+U, resultando en +%26+sleep+10+%23
Quedando de la siguiente manera la ejecución, ocasionando el delay de 10 segundos:

mail -s "This site is great" -aFrom:[email protected] [email protected] **& sleep 10 #**

Previous10 OS Comand Injection Next03 Lab: Blind OS command injection with output redirection

Last updated 1 year ago

hashtagObjetivo

hashtagSolución

Objetivo

Solución