OSコマンドインジェクション 01 - yujitounai/helloworld GitHub Wiki

OSコマンドインジェクション-01

ユーザーの入力値を使ってOSコマンドを実行している

脆弱なソースコード (PHP)

<div class="box">
<form method="get" action="">ping
<input name="host" type="text">
<input type="submit">
</form>
</div>
<?php
$host=filter_input(INPUT_GET, 'host');
$r = exec('ping -c 1 -W 1 '. $host,$output, $retval);
foreach($output as $value){
    echo $value;
    echo "<br>\n";
}
?>

攻撃方法

oscommand-01.php?host=localhost|cat+/etc/hosts

⚠️ GitHub.com Fallback ⚠️