← Каталог / nodejs / Command Injection Панель администратора содержит инструмент диагностики сети, передающий ввод напрямую в child_process.exec() без фильтрации.
easynodejsPro
Задача
# Command Injection: инъекция команд ОС
## Сценарий
Ты — пентестер, нанятый для проверки безопасности интернет-магазина **HackShop**.
Приложение работает по адресу.
Команда разработки добавила в панель администратора инструмент диагностики сети — форму, позволяющую проверить доступность хоста через команду `ping`. Ты заподозрил, что пользовательский ввод попадает в системную команду без проверки. Если это так — атакующий сможет выполнить произвольные команды на сервере от имени приложения.
## Что нужно сделать
1. Войди в приложение под учётной записью администратора.
2. Найди раздел диагностики сети в панели управления.
3. Исследуй, как обрабатывается поле ввода хоста — проверь, можно ли добавить к нему дополнительную команду.
4. С помощью инъекции команды извлеки CTF-флаг с сервера. Где именно его искать — определишь сам в процессе эксплуатации.
## Данные для входа
| Роль | Логин | Пароль |
|------|-------|--------|
| Администратор | `admin` | `lab-secret` |
| Обычный пользователь | `demo` | `demo` |
Похожие лабораторные
Ещё лабораторные по этому типу уязвимости
API сетевой диагностики Express выполняет ping через child_process.exec, но вывод не возвращается клиенту. Уязвимость подтверждается через задержку ответа (timing-based blind injection).
nodejsmediumPro
Exploit Fix
Функция ping в админ-панели защищена blacklist-фильтром, блокирующим пробелы и ключевые слова cat/flag/tail/less/more. Фильтр обходится через ;id, ;env и другие конструкции без пробелов.
nodejshardPro
Exploit Fix
Веб-калькулятор вычисляет пользовательские выражения через eval(). Это даёт атакующему полный RCE: доступ к process.env, child_process и любым модулям Node.js.
nodejshardPro
Exploit Fix
Простая OS Command Injection через инструмент сетевой диагностики в админ-панели.
golangeasyPro
Exploit Fix
🚧 Сайт в разработке. Полный функционал пока недоступен. Все вопросы —
support@hackandfix.ru