Re: eseguire comandi da interfaccia web

To: "(ML) Debian Italian" <debian-italian@lists.debian.org>

Subject: Re: eseguire comandi da interfaccia web

From: のふりをしません <wontpretend2b-me@yahoo.com>

Date: Mon, 2 Feb 2015 11:30:02 +0100

Message-id: <[🔎] CAKPgDDjAD7bvyf8D=x4DPnkq+BjOXjmkuxikjCc7gxFgjPQZbw@mail.gmail.com>

In-reply-to: <[🔎] 21711.18903.846458.41608@mail.eng.it>

References: <b958d166a12fb783705a3c2c6828fc37.squirrel@fuckaround.org> <21707.42039.768804.774083@mail.eng.it> <CAKPgDDjBNxc07WLKhx4TcsrhU3HFiAVisV=J6e-6W+PSuToXXw@mail.gmail.com> <21707.45152.180743.52575@mail.eng.it> <CAKPgDDgcPR-OKJ8=P4BXZ6GV5XDPwmHCqU0AhdMvQYGQj23jDA@mail.gmail.com> <[🔎] 21711.18903.846458.41608@mail.eng.it>

2015-02-02 10:56 GMT+01:00 Gian Uberto Lauri <saint@eng.it>:

のふりをしません writes:
> dal parametro $_POST['action'].
> lo script deve essere devono una directory hardcoded
> in suexec

MI aguro che $_POST['acrtion'] contenga un nome simbolico (i.e. mi
passi uno ed invoco script tale, mi passi 2 e invoco script
talaltro...) e non un nome di file, che anche
../../../../../../../../../../bin/rm è un nome di file valido :).

Sì è un nome simbolico, c'è tutto il modello di sicurezza di suexec più qualche altro check
ho messo io, che ora nn ricordo dovrei andarmi a riprendere i sorgenti.

Bi e a, bi e e, ba be, bi e i, ba be bi, bi e o, ba be bi bo
bi e u, bu, ba be bi bo bu
Ci e a, ci e e, ca ce, ci e i, ca ce ci, ci e o, ca ce ci co
ci e u, cu, ca ce ci co cu

Reply to:

Follow-Ups:

Re: eseguire comandi da interfaccia web
- From: "Gian Uberto Lauri" <saint@eng.it>

References:

Re: eseguire comandi da interfaccia web
- From: "Gian Uberto Lauri" <saint@eng.it>