Wszystko

Wszystkie

Archiwum

jacekprim
jacekprim
  • 2
Może ktoś wyjaśnić mi ostatni problem z bezpieczeństwem w PHPMailerze?

Dlaczego wpisanie w skrypcie czegoś podobnego do:
popen(escapeshellcmd('sendmail -f' . escapeshellarg($_POST['nadawca'])), 'w');
zamiast prawidłowego
popen('sendmail -f' . escapeshellarg($_POST['nadawca']), 'w');
czyli niepotrzebne przepuszczenie przez escapeshellcmd umożliwia uruchomienie sendmaila z argumentami innymi niż -f? Co takiego robi escapeshellcmd, że escapeshellarg staje się nieskuteczny?

Dla wejścia "Attacker\' -Param2 -Param3"@test.com
powstaje ciąg, który /bin/sh interpretuje jako:
- nazwa programu do uruchomienia sendmail
- pierwszy argument -f\"Attacker\\
jacekprim
jacekprim
  • 1
@canto: To jest proste, interesuje mnie bardziej https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html - escape jeden raz daje bezpieczny do wstawienia wewnątrz polecenia shellowego ciąg oznaczający ustawienie wartości argumentu, escape dwa razy (gdzie autor myśli, że robi jeden raz) już niebezpieczny. Przypuszczam, że ma to coś wspólnego z fragmentem w dokumentacji: ' and " are escaped only if they are not paired, escape'owanie nie jest więc prostą zamianą np. ' na \', gdzie wykonanie go
  • Odpowiedz
Lapidarny
Lapidarny
  • 266
Dzisiaj na stacjach Shell "KOBIECIE WTORKI" - gdy kobieta przyjeżdża zatankować paliwo to miły pan myje szybki, daje balonki i wlewa płyn do spryskiwaczy. Jakieś mycie reflektorów, sprawdzanie ciśnienia w kołach i darmowe myjnie...

I tutaj moje pytanie - co o tym myślicie? W sumie fajna akcja ale... czemu nie ma "MĘSKICH CZWARTKÓW" czy czegoś takiego? Przecież to jawna dyskryminacja! Ktoś powinien się tym zająć...

Wyobrażacie sobie gdyby były takie MĘSKIE WTORKI
Lapidarny - Dzisiaj na stacjach Shell "KOBIECIE WTORKI" - gdy kobieta przyjeżdża zata...

źródło: comment_sNMKrHZePIcicxlIFiCaqmy26pXdh0hQ.jpg

Pobierz
6a6b6c
6a6b6c
  • 11
If it's hacky and you know it clap you hands (clap clap)!


Hehe. Fajnie, ze sa ludzie, co wymyslaja takie rzeczy... ( ͡° ͜ʖ ͡°)

Stronka, ktora wypluwa randomowy tekst do commita:
http://whatthecommit.com/index.txt

Linijka dla gita :

git commit -m "$(curl -s [http://whatthecommit.com/index.txt)";](http://whatthecommit.com/index.txt)";)
Znalezione na #fajnastronka, nowa odslona CommandLine Fu :
https://clf.upguard.com - nowa otwart-zamknieta beta

Enjoy! ( ͡° ͜ʖ ͡°)

#git #
coll
coll
  • 0
@6a6b6c: przydałoby się w formie skryptu z podawanym środowiskiem pracy / językiem jako parametrem, bo nie chciałbym tekstu o #!$%@? IO w cpp pracując w Javie ( ͡° ʖ̯ ͡°)
  • Odpowiedz
garsi
garsi
  • 4
Pany, jestem z siebie dumien ( ͡º ͜ʖ͡º)
Stworzyłem mój pierwszy skrypt *.sh w #linux #ubuntu i dodatkowo uruchamia się przy starcie systemu :)
Skrypt usuwa bieżące dowiązanie (ln) i tworzy je ponownie. Zrobiłem tak, ponieważ tworząc normalnie symlinka na pulpicie, przy ponownym uruchomieniu kompa już z tego linka nie mogłem skorzystać.
#chwalesie #shell #pijciezemnokompot
i.....r
i.....r
  • 1
Chcę puścić na klastrze wiele jobów. Napisałem sobie skrypt #shell, w którym mam komendy. Chcę je uruchamiać korzystając z qsub.

Czy lepiej:

a) Uruchomić cały skrypt z qsubem ("$qsub bash run_auto.sh")
b) Uruchomić skrypt normalnie, ale w środku dać przed każdą pojedynczą komendą "qsub"?

Które rozwiązanie jest lepsze i jaka będzie różnica między nimi?

#ubuntu #linux #unix #qsub #programowanie #skrypt #python
  • Odpowiedz

Powiązane tagi