academy OS コマンドインジェクション 1問目 単純なケース

Lab: OS command injection, simple case

製品詳細の一番下の、check stockボタンをクリックします。

ヒストリーで、
POST /product/stock
を確認

リピータに渡し、リクエストボディのStoreIdのパラメータに
1|whoami
を入れて、send

レスポンスに、ユーザー名らしきものが表示されます。
クリア！

–)v