Se trata de buscar dentro de los proyectos que existen en GitHub y que están creados con el lenguaje de programación PHP, la función exec sumado a un parámetro particular.
Si recordamos, PHP nos permite ejecutar una aplicación externa haciendo uso de la función exec() como por ejemplo:
<?php
echo exec('whoami');
?>
Ahora bien, que les parece si dentro de GitHub buscamos la siguiente cadena:
exec($_GET
Se van a encontrar que hay más de 100.000 archivos que hacen uso de esta función, y que en la mayoría de los casos podría ser comprometido esa aplicación, ya sea por la incorporación o ejecución de un WebShell o por los tipos de fallos LFI/RFI.
Sin dudas hay mucho para ver y analizas, pero no quería dejar de compartir este Hack con todos.
Saludos!
No hay comentarios.:
Publicar un comentario