OS command injection, simple case
![[20251009005232.png]](/assets/20251009005232.Cv5n7ZiL.png)
En el sitio web encontraremos el siguiente contenido.
![[20251009005544.png]](/assets/20251009005544.BVTXIqMJ.png)
En este sitio web podemos solicitar el stock.
![[20251009005759.png]](/assets/20251009005759.T3LPHbda.png)
Al interceptar la request y agregar un ;whoami observamos que el servidor ejecuta nuestro comando, por lo que vemos el usuario del servidor.
![[20251009005817.png]](/assets/20251009005817.Cnm026S2.png)
c
productId=1&storeId=3;whoami
productId=1&storeId=3;ls%20-la