Перейти к содержимому
← Каталог nodejs Command Injection

Command Injection: Базовая инъекция команд в Node.js

Панель администратора содержит инструмент диагностики сети, передающий ввод напрямую в child_process.exec() без фильтрации.

easynodejsPro
Задача
# Command Injection: инъекция команд ОС ## Сценарий Ты — пентестер, нанятый для проверки безопасности интернет-магазина **HackShop**. Приложение работает по адресу. Команда разработки добавила в панель администратора инструмент диагностики сети — форму, позволяющую проверить доступность хоста через команду `ping`. Ты заподозрил, что пользовательский ввод попадает в системную команду без проверки. Если это так — атакующий сможет выполнить произвольные команды на сервере от имени приложения. ## Что нужно сделать 1. Войди в приложение под учётной записью администратора. 2. Найди раздел диагностики сети в панели управления. 3. Исследуй, как обрабатывается поле ввода хоста — проверь, можно ли добавить к нему дополнительную команду. 4. С помощью инъекции команды извлеки CTF-флаг с сервера. Где именно его искать — определишь сам в процессе эксплуатации. ## Данные для входа | Роль | Логин | Пароль | |------|-------|--------| | Администратор | `admin` | `lab-secret` | | Обычный пользователь | `demo` | `demo` |

Похожие лабораторные

Ещё лабораторные по этому типу уязвимости

CMD Injection

Blind Command Injection: time-based инъекция без вывода в Node.js

API сетевой диагностики Express выполняет ping через child_process.exec, но вывод не возвращается клиенту. Уязвимость подтверждается через задержку ответа (timing-based blind injection).

+60 XP ~40 минут
nodejsmediumPro
Exploit Fix
CMD Injection

Command Injection: Обход Blacklist-фильтра в Node.js

Функция ping в админ-панели защищена blacklist-фильтром, блокирующим пробелы и ключевые слова cat/flag/tail/less/more. Фильтр обходится через ;id, ;env и другие конструкции без пробелов.

+90 XP ~75 минут
nodejshardPro
Exploit Fix
CMD Injection

Code Injection: eval() в Node.js калькуляторе

Веб-калькулятор вычисляет пользовательские выражения через eval(). Это даёт атакующему полный RCE: доступ к process.env, child_process и любым модулям Node.js.

+90 XP ~75 минут
nodejshardPro
Exploit Fix
CMD Injection

Basic Command Injection: Сетевой пинг

Простая OS Command Injection через инструмент сетевой диагностики в админ-панели.

+30 XP ~20 минут
golangeasyPro
Exploit Fix
🚧 Сайт в разработке. Полный функционал пока недоступен. Все вопросы — support@hackandfix.ru