Command Injection: Базовая инъекция команд в Node.js

# Command Injection: инъекция команд ОС ## Сценарий Ты — пентестер, нанятый для проверки безопасности интернет-магазина **HackShop**. Приложение работает по адресу. Команда разработки добавила в панель администратора инструмент диагностики сети — форму, позволяющую проверить доступность хоста через команду `ping`. Ты заподозрил, что пользовательский ввод попадает в системную команду без проверки. Если это так — атакующий сможет выполнить произвольные команды на сервере от имени приложения. ## Что нужно сделать 1. Войди в приложение под учётной записью администратора. 2. Найди раздел диагностики сети в панели управления. 3. Исследуй, как обрабатывается поле ввода хоста — проверь, можно ли добавить к нему дополнительную команду. 4. С помощью инъекции команды извлеки CTF-флаг с сервера. Где именно его искать — определишь сам в процессе эксплуатации. ## Данные для входа | Роль | Логин | Пароль | |------|-------|--------| | Администратор | `admin` | `lab-secret` | | Обычный пользователь | `demo` | `demo` |